05.09.2011 14:10
Über 500 Zertifikate: Ausmaß des CA-Hacks schlimmer als erwartet
Bei dem Angriff auf die Zertifizierungsstelle DigiNotar im Juli wurden mehr als doppelt so viele Zertifikate ausgestellt wie bisher angenommen. Die niederländische Regierung hat den Entwicklern des Tor-Projekt eine Liste mit 531 Zertifikaten ausgehändigt, in der sich auch die Domains zahlreicher Geheimdienste wiederfinden: Die Angreifer konnten jeweils mehrere Zertifikate für www.sis.gov.uk (MI6), www.cia.gov und www.mossad.gov.il ausstellen. Auch für diverse Microsoft-Domains wurden missbräuchlich Zertifikate ausgestellt, darunter microsoft.com, windowsupdate.com, login.live.com und skype.com. Weitere Prominente Opfer sind facebook.com, twitter.com, aol.com, android.com und secure.logmein.com.
Zudem haben die Angreifer die Wildcard-Zertifikate *.*.org und *.*.com ausgestellt, die jedoch von keinem Browser akzeptiert werden dürften. Zur Ausstellung beliebiger weiterer Zertifikate waren offenbar diverse Intermediate-Zertifikate gedacht, die auf Namen wie Thawte Root CA, Equifax Root CA und VeriSign Root CA ausgestellt worden sind. Mit der Liste wird ein Bericht von vergangener Woche bestätigt, laut dem die Angreifer auch für google.com, wordpress.com, addons.mozilla.org, login.yahoo.com und torproject.org Zertifikate ausstellen konnten.
Der Gesamtumfang überrascht: Bislang ging man aufgrund von Änderungen im Quellcode von Google Chrome lediglich von 247 falschen Zertifikaten aus. Damit handelt es sich um den bislang schwerwiegendsten Einbruch bei einer Certificate Authority (CA). Unklar ist derzeit, wer hinter dem Angriff steckt und wie viele der Zertifikate für die Überwachung von Internetnutzern genutzt wurden. Zumindest mit Google-Zertifikat wurden im Iran bereits aktiv Gmail-Nutzer ausspioniert.
Einen Hinweis auf den Urheber des Hacks liefert ein Zertifikat, das auf die zum Zeitpunkt der Ausstellung ungültige Domain RamzShekaneBozorg.com ausgestellt wurde. Laut dem Blogeintrag auf der Seite des Tor-Projekts ist der Domainname persisch und bedeutet übersetzt "great cracker", der Name des Zertifikate-Inhabers "Hameyeh Ramzaro Mishkanam" bedeutet "I will crack all encryption" – ich knacke jede Verschlüsselung.
Unterdessen mehren sich die Beschwerden der betroffenen Domaininhaber, da sich DigiNotar nicht unmittelbar mit ihnen in Verbindung gesetzt hat. Die Mozilla-Entwickler kritisieren das Vorgehen der kompromittierten Zertifizierungsstelle harsch: "Die Statements, die DigiNotar und der Mutterkonzern VASCO über das Ausmaß und die Auswirkungen der Kompromittierung gemacht haben, waren bestenfalls unvollständig und schlimmstenfalls bewusst irreführend."
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
