28.03.2011 15:41
Einzelner Hacker übernimmt Verantwortung für Zertifikats-Klau bei Comodo
Ein einzelner, vermutlich iranischer Hacker will für die unautorisierte Erzeugung und Ausstellung von SSL-Zertifikaten für Webserver wichtiger Anbieter verantwortlich sein. Bislang steht unter anderem die iranische Regierung in Verdacht den Angriff begangen zu haben, um mit den Zertifikaten möglicherweise die Kommunikation von Oppositionellen im eigenen Land auszuspähen.
Auf der Textschnipsel-Seite Pastebin.com wurde ein Manifest veröffentlicht, in dem ein sich selbst als Comodo-Hacker bezeichnender 21-Jähriger Details zu dem Einbruch zu dem Vorgang veröffentlicht. Sicherheitsexperten halten die Darstellung des Hacks zwar für glaubwürdig, zweifeln aber dennoch daran, dass eine Einzelperson dahintersteht.
Laut seinem Manifest will der Hacker zunächst in den Webserver des italienischen Comodo-Resellers InstantSSL.it eingebrochen sein – deren Dienste sind in der Tat seit vergangener Woche nicht mehr erreichbar. Auf dem Webserver sei er auf eine .NET-Bibliothek gestoßen, mit der der Reseller die Anträge (CSR) bei Comodo und GeoTrust für die Ausstellung eines Zertifikats einreicht. Beim Dekompilieren der in C# geschriebenen Bibliothek sei er auf die festkodierten Zugangsdaten für den Comodo- und GeoTrust-Account gestoßen.
Da die in der DLL hinterlegten URLs für GeoTrust nicht funktionierten, nutzte er das Comodo-Konto. Zwar habe er sich zum Einreichen seiner CSRs zunächst in die Funktionsweise der API einarbeiten müssen. Dies habe er, der sich selbst in seinem Manifest mehrfach selbst als äußerst talentiert bezeichnet, jedoch in 15 Minuten erledigt. Damit gelang es ihm dann die Anträge einzureichen, laut Comodo für die Domains login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com und addons.mozilla.org.
Über seine Motive macht der offenbar patriotische Hacker keine klaren Angaben. Anscheinend ist er beim Versuch, RSA-Schlüssel zu faktorisieren, vom Hölzchen aufs Stöckchen gekommen und hat sich mangels Erfolg dann dem Knacken von CAs gewidmet.
Comodo hat bislang keine weiteren Informationen herausgegeben, die die Darstellung bestätigen oder sie entkräften könnten. Das Pen-Test-Unternehmen Errata Security findet zumindest die technische Darstellung schlüssig. Man selber stoße bei Sicherheitsanalysen ebenfalls oft auf hardkodierte Zugangsdaten in Dateien, von denen die Entwickler annehmen würden, dass sie dort niemand auslesen könne.
Der Metasploit-Entwickler H.D. Moore bezweifelt auf Twitter, dass einer alleine den Einbruch gemeistert hat. Mikko Hyyponen von F-Secure will ebenfalls an keinen Einzeltäter glauben. "Sollen wir wirklich glauben, dass ein einzelner Hacker in eine CA einbricht und sich dann statt eines Zertifikat für paypal.com eines für yahoo.com ausstellt?", fragt er.
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
