Einzelner Hacker übernimmt Verantwortung für Zertifikats-Klau bei Comodo

Ein einzelner, vermutlich iranischer Hacker will für die unautorisierte Erzeugung und Ausstellung von SSL-Zertifikaten für Webserver wichtiger Anbieter verantwortlich sein. Bislang steht unter anderem die iranische Regierung in Verdacht den Angriff begangen zu haben, um mit den Zertifikaten möglicherweise die Kommunikation von Oppositionellen im eigenen Land auszuspähen.

Auf der Textschnipsel-Seite Pastebin.com wurde ein Manifest veröffentlicht, in dem ein sich selbst als Comodo-Hacker bezeichnender 21-Jähriger Details zu dem Einbruch zu dem Vorgang veröffentlicht. Sicherheitsexperten halten die Darstellung des Hacks zwar für glaubwürdig, zweifeln aber dennoch daran, dass eine Einzelperson dahintersteht.

Laut seinem Manifest will der Hacker zunächst in den Webserver des italienischen Comodo-Resellers InstantSSL.it eingebrochen sein – deren Dienste sind in der Tat seit vergangener Woche nicht mehr erreichbar. Auf dem Webserver sei er auf eine .NET-Bibliothek gestoßen, mit der der Reseller die Anträge (CSR) bei Comodo und GeoTrust für die Ausstellung eines Zertifikats einreicht. Beim Dekompilieren der in C# geschriebenen Bibliothek sei er auf die festkodierten Zugangsdaten für den Comodo- und GeoTrust-Account gestoßen.

Da die in der DLL hinterlegten URLs für GeoTrust nicht funktionierten, nutzte er das Comodo-Konto. Zwar habe er sich zum Einreichen seiner CSRs zunächst in die Funktionsweise der API einarbeiten müssen. Dies habe er, der sich selbst in seinem Manifest mehrfach selbst als äußerst talentiert bezeichnet, jedoch in 15 Minuten erledigt. Damit gelang es ihm dann die Anträge einzureichen, laut Comodo für die Domains login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com und addons.mozilla.org.

Über seine Motive macht der offenbar patriotische Hacker keine klaren Angaben. Anscheinend ist er beim Versuch, RSA-Schlüssel zu faktorisieren, vom Hölzchen aufs Stöckchen gekommen und hat sich mangels Erfolg dann dem Knacken von CAs gewidmet.

Comodo hat bislang keine weiteren Informationen herausgegeben, die die Darstellung bestätigen oder sie entkräften könnten. Das Pen-Test-Unternehmen Errata Security findet zumindest die technische Darstellung schlüssig. Man selber stoße bei Sicherheitsanalysen ebenfalls oft auf hardkodierte Zugangsdaten in Dateien, von denen die Entwickler annehmen würden, dass sie dort niemand auslesen könne.

Der Metasploit-Entwickler H.D. Moore bezweifelt auf Twitter, dass einer alleine den Einbruch gemeistert hat. Mikko Hyyponen von F-Secure will ebenfalls an keinen Einzeltäter glauben. "Sollen wir wirklich glauben, dass ein einzelner Hacker in eine CA einbricht und sich dann statt eines Zertifikat für paypal.com eines für yahoo.com ausstellt?", fragt er. Angesichts der Fähigkeiten der Täter, die zum Erlangen der Zertifikte nötig waren, gibt es aber auch Spekulationen, dass die Fähigkeiten nun auch für ein Ablenkungsmanöver ausreichen, wie es das Manifest sein könnte. (dab)