Vor ein paar Tagen wurde bekannt, dass ein gefälschtes SSL-Zertifikat für *.google.com im Iran zum Einsatz kam. Das Zertifikat war der CA Diginotar signiert, die per default in so gut wie jedem Browser als „vertrauenswürdig“ gilt. Mit dem rogue cert konnte also wunderbar Traffic mitgeschnitten oder manipuliert werden, ohne dass einem ’normalen‘ Nutzer etwas auffällt.
Dazu gekommen war es anscheinend durch einen Hack des Diginotar-Servers im Jahr 2009. Diginotar ist eine niederländische CA, von der zum Beispiel auch die Web-Angebote der Regierung signiert wurden. Wer also aber schon einmal dabei ist, so eine CA zu hacken, der erstellt sich dann natürlich nicht nur ein Zertifikat, sondern direkt auch noch ein paar andere. Zum Beispiel für
*.windowsupdate.com (womit man wunderbar per Update eine Horde Windows-Rechner mit Trojanern ausstatten könnte)
*.torproject.org (womit man manipulierte Tor-Clients an seine Dissidenten verteilen könnte, um ihre Aktivitäten auszuspähen) oder für
secure.logmein.com
Irgendwann wurde es dem Angreifer wohl zu viel Arbeit, und er hat einfach Zertifikate für
*.*.org und
*.*.com
ausgestellt.
Im Moment sind 531 falsche Zertifikate identifiziert (zuletzt signiert im Juli 2011), und die Nachforschungen der niederländischen Regierung noch nicht abgeschlossen. Für die Nutzer bedeutet das, dass unter keinen Umständen jemals mehr diesen root-CAs getraut werden sollte:
DigiNotar Cyber CA
DigiNotar Extended Validation CA
DigiNotar Public CA 2025
DigiNotar Public CA – G2
Koninklijke Notariele Beroepsorganisatie CA
Stichting TTP Infos CA
Diese sollten also manuell entfernt werden, und (ohnehin) Browser und Betriebssystem immer auf aktuellem Stand gehalten werden.
Die niederländische Regierung hat recht schnell reagiert, sicherheitsrelevante Online-Angebote abgeschaltet und die Firma gerügt, die von dem Umstand bereits im Juni 2011 erfahren, aber niemanden informiert hatte. Das muss man sich auf der Zunge zergehen lassen: Aus Sorge um den eigenen Ruf und das Vertrauen, dessen man nicht mehr würdig war, nahm Diginotar den aktiven Missbrauch in Kauf.
Mit Diginotars Krisenmanagement wäre wohl final geklärt, was von einem Sicherheitsmodell zu halten ist, bei dem Institutionen das uneingeschränke Vertrauen der gesamten Welt ausgesprochen und auf Millionen von Rechnern ungefragt installiert wird.
Hattest du jetzt die Zertifikate für *.*.com und *.*.org übersehen?
(siehe auch:
https://blog.torproject.org/blog/diginotar-damage-disclosure
)
Hatte ich vergessen zu erwähnen, weil die Beispiele anschaulicher waren, um die Gefahr zu verdeutlichen. Habe einen Absatz ergänzt – Danke für den Hinweis!
Bei Mozilla ist DigiNotar wohl schon entfernt worden.
Hier der Eintrag auf deren Security-Blog dazu: http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/
Interessante Auswahl und örtliche Verteilung, mal sehen wie die komplette Liste aussieht.
„Aus Sorge um den eigenen Ruf und das Vertrauen, dessen man nicht mehr würdig war, nahm Diginotar den aktiven Missbrauch in Kauf.“
Neuerdings auch als TEPCO-NISA Prinzip bekannt.
Das lustigste war ja die erste Stellungname von Diginotars Mutterfirma
„VASCO expects the impact of the breach of DigiNotar’s SSL and EVSSL business to be minimal. Through the first six months of 2011, revenue from the SSL and EVSSL business was less than Euro 100,000. “
http://www.vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx
Folgen für andere wurden nicht angesprochen.
Und das muss doch Folgen haben … Wenn man da nun nicht drastisch vorgeht, dann passiert das anderen evtl. auch? Solche Firmen sollten für solche Pannen aber mal richtig zahlen – oder hat man hier evtl. absichtlich ein Auge zugedrückt??? Ich hoffe man geht der ganzen Geschichte auf den Grund!!!
Ich bin mal wirklich auf die Ergebnisse der NL- Regierung gespannt auch auf die noch folgenden Auswirkungen, vielleicht gibt es ja noch ein paar kleine Stellungsnahmen der betroffenen Firmen? Würde mich freuen wenn hier darüber Berichtet wird.
Da ja schon etwas länger klar ist, dass das CA-System kaputt ist, will ich hier auf die tolle Alternative convergence hinweisen: http://convergence.io/index.html
Hier der Vortrag dazu auf der Blackhat: http://www.youtube.com/watch?v=Z7Wl2FW2TcA
Die Konsequenzen dürften doch klar sein: Die restlichen Browser kopieren das Sicherheitskonzept mit dem Chrome das gefälschte Zertifikat fand, sämtliche CA’s lassen ihre Systeme regelmäßig von unabhängigen Experten überprüfen und veröffentlichen alle erzeugten Zertifikate (dachte, das wird schon gemacht und auch vom Browser überprüft).
Mehr wird bestimmt nicht passieren , ob es reicht wissen wir in spätestens 5 Jahren.
Das die holländische Regierung ihre kritsche Sicherheitsinfrastruktur ohne regelmäßige Prüfungen des Anbieters auslagert, halte ich für einen zusätlichen Skandal. Schließlich haben sie damit Diginotar das Vertrauen ausgesprochen.