CA-Hack: Auch Anonymisierungs-Projekt TOR im Visier der Angreifer

Bei dem Hackerangriff auf die niederländische SSL-Zertifizierungsstelle DigiNotar haben die Eindringlinge auch zwölf Zertifikate für die Domain *.torproject.org erzeugt, wie die Entwickler des Anonymisierungsnetzwerks berichten. Demnach wurden am 18. Juli dieses Jahres die ersten sechs und am 20. Juli weitere sechs Zertifikate widerrechtlich für die Domain des Projekts ausgestellt – und das, obwohl DigiNotar den Einbruch bereits am 19. Juli erkannt und alle falschen Zertifikate zurückgezogen haben will.

Die Tor-Entwickler geben an, dass die Sicherheit des Anonymisierungsnetzwerks durch die ausgestellten Zertifikate nicht direkt beeinträchtigt sei. Allerdings konnte ein Angreifer damit die Webseite des Projekts manipulieren, um dem Opfer etwa eine modifizierte Version des Tor-Clients unter zu schieben. Die Tor-Macher beklagen, dass sie nicht aktiv von DigiNotar über den Zwischenfall informiert wurden und erst durch einen Anruf bei der CA eine Liste mit den Seriennummern der falschen Zertifikate bekommen haben. DigiNotar gab gegenüber den Tor-Entwicklern an, dass sie die betroffenen Zertifikate längst für ungültig erklärt hätten.

Allerdings weist derzeit nichts darauf hin, dass dies auch tatsächlich passiert ist. Die Entwickler haben in den öffentlich zugänglichen Sperrlisten der Zertifizierungsstelle (Certificate Revocation List, CRL) keinerlei Hinweise auf eine Sperrung der betroffenen Seriennummern gefunden. Interessanterweise wurden die Zertifikate mit einer Gültigkeit von nur einem Monat ausgestellt und sind seit dem 19. August abgelaufen. Dies sehen die Entwickler als möglichen Grund dafür, dass DigiNotar es nicht mehr für nötig hält, die Zertifikate in die CRL aufzunehmen.

Laut einem Bericht der niederländischen Webseite nu.nl gab es weitere prominente Opfer, darunter der Blog-Hoster WordPress, Yahoo, das Addon-Verzeichnis von Mozilla Firefox und das iranische Blog-Portal Baladin. Finanzielle Absichten stecken offenbar nicht hinter dem Angriff; laut dem Bericht wurden keine Zertifikate für Finanzinstitute ausgestellt.

Auch für Google.com wurde missbräuchlich mindestens ein Zertifikat erstellt und auch aktiv zum Abhören iranischer Google-Nutzer genutzt, wodurch der Vorfall schließlich auch aufgefallen ist. Google Chrome bringt seit Version 13 eine Liste vertrauenswürdiger CAs mit, die zur Ausstellung von Zertifikaten für die Google-Domain in Frage kommen. Gibt es eine Abweichung, wie im aktuellen Fall, zeigt der Browser eine Warnung an. Das Google-Zertifikat wurde bereits am 10. Juli ausgestellt und laut DigiNotar bei den Aufräumarbeiten nach dem Einbruch "übersehen".

Über die Gesamtzahl der ausgestellten Zertifikate kann man derzeit nur spekulieren. Einen Anhaltspunkt liefert eine Änderung im Quelltext von Chrome, welche die Seriennummern von 247 DigiNotar-Zertifikaten auf die Blacklist setzt. Ob nach der Panne mit dem Google-Zertifikat nun wirklich alle falschen Zertifikate gesperrt wurden, ist weiter unklar. Nach den Beobachtungen des Internet Storm Center ist die Anzahl der gesperrten Zertifikate der CA im Juli und August gegenüber den Vormonaten sogar deutlich zurück gegangen. Neben Google haben unter anderem auch Mozilla und Microsoft der CA das Vertrauen inzwischen generell entzogen.
(rei)