Menü
Security

SSL-GAU: Ein Angriff im Cyberwar?

Von
vorlesen Drucken Kommentare lesen 103 Beiträge

Comodo hat weitere Informationen zu der Kompromittierung seiner Certificate Authority veröffentlicht, bei der ein unbekannter Angreifer an SSL-Zertifikate für bereits bestehende Webseiten gelangt ist. Zu den Domains gehören login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org sowie ein nicht näher bezeichneter "Global Trustee".

Die Kompromittierung erfolgte den Ermittlungen zufolge über den Account eines Resellers, der sogenannte Certificate Signing Request (CSR) prüft und an die Systeme von Comodo weiterreicht. Ein CSR ist ein Antrag auf Signierung eines öffentlichen Schlüssels durch eine CA und wird heutzutage per Weboberflache eingereicht. Der Eindringling gelangte an die Zugangsdaten des Resellers; konkrete Angabe zum Reseller macht Comodo nicht. Es soll sich jedoch um einen Anbieter in Südeuropa handeln, was sehr viel Interpretationsspielraum lässt.

Mit den Zugangsdaten loggte sich der Unbekannte, dessen Spuren nach Teheran führen, ein und erzeugte neun CSRs, wobei er für login.yahoo.com gleich drei einreichte. Laut Comodo lässt sich allerdings nicht mehr nachvollziehen, ob er wirklich alle beantragten Zertifikate auch erhielt. Comodo bestätigt nur, dass ein Zertifikat für login.yahoo.com bereits im Internet benutzt wurde.

Comodo will die Kompromittierung innerhalb weniger Stunden entdeckt und die Zertifikate zurückgezogen haben. Ob ein Zertifikat zurückgezogen wurde, können Browser über die Abfrage von Sperrlisten (CRL) oder das Online Certificate Status Protocol (OCSP) prüfen. Allerdings funktioniert dies nicht immer zuverlässig, weshalb Comodo die Browserhersteller kontaktierte, damit diese die Seriennummern der Zertifikate in eine statische Blacklist eintragen. Google und Mozilla hatten bereits reagiert, Microsoft hat am gestrigen Mittwoch ein Update für den Internet Explorer veröffentlicht, das diese Aufgabe erledigt.

Die Beobachtungen des OCSP-Responders haben laut Comodo bislang keine Hinweise ergeben, dass ein Anwender eine Webseite mit einem der Zertifikate aufgerufen hätte, was in Anbetracht der Blockiermöglichkeiten wenig Aussagekraft hat. Der Zertifikatsherausgeber betont, dass zu keiner Zeit ein System von Comodo kompromittiert wurde, es seien keine privaten Schlüssel aus den Hardware-Security-Modulen (HSM) ausgelesen worden.

Äußerst interessant ist der Schluss, den Comodo aus dem Vorfall zieht: Vieles spreche dafür, dass hinter den Angriffen die iranische Regierung stecke, die vermutlich die Kommunikationsinfrastruktur von Oppositionellen ausspähen will. Die Regierung habe die Kontrolle über das DNS, dass die Angriffe ohnehin erst möglich mache; der Vorfall ziele hauptsächlich auf Server mit Mail- und VoIP-Diensten sowie Social-Networking-Seiten. (dab)