Über 500 Zertifikate: Ausmaß des CA-Hacks schlimmer als erwartet
Die Angreifer, die bei der niederländischen Zertifizierungsstelle DigiNotar eingestiegen sind, haben mehr als doppelt so viele Zertifikate ausgestellt, wie bislang angenommen. Unter ihren Zielen befanden sich auch die Geheimdienste MI6, CIA und Mossad.
- Ronald Eikenberg
Bei dem Angriff auf die Zertifizierungsstelle DigiNotar im Juli wurden mehr als doppelt so viele Zertifikate ausgestellt wie bisher angenommen. Die niederländische Regierung hat den Entwicklern des Tor-Projekt eine Liste mit 531 Zertifikaten ausgehändigt, in der sich auch die Domains zahlreicher Geheimdienste wiederfinden: Die Angreifer konnten jeweils mehrere Zertifikate für www.sis.gov.uk (MI6), www.cia.gov und www.mossad.gov.il ausstellen. Auch für diverse Microsoft-Domains wurden missbräuchlich Zertifikate ausgestellt, darunter microsoft.com, windowsupdate.com, login.live.com und skype.com. Weitere Prominente Opfer sind facebook.com, twitter.com, aol.com, android.com und secure.logmein.com.
Zudem haben die Angreifer die Wildcard-Zertifikate *.*.org und *.*.com ausgestellt, die jedoch von keinem Browser akzeptiert werden dürften. Zur Ausstellung beliebiger weiterer Zertifikate waren offenbar diverse Intermediate-Zertifikate gedacht, die auf Namen wie Thawte Root CA, Equifax Root CA und VeriSign Root CA ausgestellt worden sind. Mit der Liste wird ein Bericht von vergangener Woche bestätigt, laut dem die Angreifer auch für google.com, wordpress.com, addons.mozilla.org, login.yahoo.com und torproject.org Zertifikate ausstellen konnten.
Der Gesamtumfang überrascht: Bislang ging man aufgrund von Änderungen im Quellcode von Google Chrome lediglich von 247 falschen Zertifikaten aus. Damit handelt es sich um den bislang schwerwiegendsten Einbruch bei einer Certificate Authority (CA). Unklar ist derzeit, wer hinter dem Angriff steckt und wie viele der Zertifikate für die Überwachung von Internetnutzern genutzt wurden. Zumindest mit Google-Zertifikat wurden im Iran bereits aktiv Gmail-Nutzer ausspioniert.
Einen Hinweis auf den Urheber des Hacks liefert ein Zertifikat, das auf die zum Zeitpunkt der Ausstellung ungültige Domain RamzShekaneBozorg.com ausgestellt wurde. Laut dem Blogeintrag auf der Seite des Tor-Projekts ist der Domainname persisch und bedeutet übersetzt "great cracker", der Name des Zertifikate-Inhabers "Hameyeh Ramzaro Mishkanam" bedeutet "I will crack all encryption" – ich knacke jede Verschlüsselung.
Unterdessen mehren sich die Beschwerden der betroffenen Domaininhaber, da sich DigiNotar nicht unmittelbar mit ihnen in Verbindung gesetzt hat. Die Mozilla-Entwickler kritisieren das Vorgehen der kompromittierten Zertifizierungsstelle harsch: "Die Statements, die DigiNotar und der Mutterkonzern VASCO über das Ausmaß und die Auswirkungen der Kompromittierung gemacht haben, waren bestenfalls unvollständig und schlimmstenfalls bewusst irreführend." (rei)
