vorherige News

nächste News

Gefälschtes Google-SSL-Zertifikat blieb fünf Wochen unerkannt

Screenshot der Google-Chrome-Warnung wegen

Die iranische Regierung gelangte offenbar an ein gültiges SSL-Zertifikat für alle Sub-Domains von google.com. Der genaue Empfänger des SSL-Zertifikats ist momentan noch unbekannt, ebenso, weshalb das Zertifikat überhaupt ausgestellt wurde. Der Iran hat das Zertifikat offenbar für Man-In-The-Middle-Attacken gegen iranische Google Mail-Nutzer missbraucht.

SSL-Zertifikate sollen sicherstellen, dass sich der User auch tatsächlich auf der Website befindet, für die diese sich ausgibt. Wenn ein solches Zertifikat in die falschen Hände gerät beziehugnsweise an eine falsche Person ausgestellt wird, kann der Angreifer über eine sogenannte Man-In-The-Middle-Attacke den kompletten Datenverkehr zwischen der Website und dem Opfer mitschneiden. Durch das an sich echte SSL-Zertifikat fällt der Angriff normalerweise auch nicht weiter auf.

Ein solches SSL-Zertifikat blieb bis gestern für fünf Wochen unentdeckt. Ausgestellt wurde das Zertifikat für alle Subdomains der Domain google.com. Offenbar wurde dieses Zertifikat von der iranischen Regierung dazu missbraucht, Man-In-The-Middle-Attacken gegen iranische Nutzer von Google Mail auszuüben, um deren Mail-Verkehr auszuspionieren. Entdeckt wurde der Angriff am 27. August von einem Nutzer der Google-Support-Foren. In diesem Thread beschreibt ein User namens "alibo", er habe beim Besuch seines Google-Mail-Kontos von seinem iranischen Internetzugang aus eine Warnung des Google Chrome-Browsers erhalten. Verantwortlich für die Entdeckung des falsch ausgestellten Zertifikats ist eine neue Sicherheisfunktion, die erst kürzlich in Google Chrome eingebaut wurde. Diese Funktion prüft bei einem SSL-Zertifikat nicht nur die Gültigkeit selbst, sondern auch, ob das Zertifikat von der richtigen CA ausgestellt wurde.

Das Zertifikat wurde von der niederländischen Firma DigiNotar ausgestellt. In einem Pastebin.com-Eintrag wird die Existenz des falschen Zertifikats bestätigt. An wen genau das Zertifikat ausgestellt wurde, ist bislang noch unklar. Ebenfalls ist nicht bekannt, wie es dazu kommen konnte, dass DigiNotar "einfach so" ein Zertifikat für die Google-Domains ausstellt, ohne die Berechtigungen des Antragstellers genau zu überprüfen.

Aus Sicherheitsgründen entfernte Microsoft als Reaktion auf diesen Vorfall das Root-Zertifikat von DigiNotar aus der Microsoft Certificate Trust List in Windows. Damit werden automatisch alle SSL-Zertifikate ungültig, die von DigiNotar ausgestellt wurden. Nutzer von Windows Vista und Windows 7 müssen keine weiteren Maßnahmen treffen, alle Zugriffe auf die DigiNotar-Zertifikate werden automatisch blockiert. Für Windows XP wird es ein eigenes Sicherheitsupdate geben.

Auch andere Software-Hersteller haben als Konsequenz die DigiNotar-Zertifikate entfernt. So will Mozilla ein Update für Firefox, Thunderbird und Sea Monkey ausliefern. Google will ebenfalls die Zertifikate aus dem Google Chrome-Browser entfernen. Dieser Vorfall ist nicht der einzige seiner Art. Erst im März gelangten durch einen Hacker-Angriff auf den Dienstleister Comodo die SSL-Zertifikate wichtiger Domains in die Hände der Angreifer.

Text-Quellen: nakedsecurity.sophos.com

Lothar Serra Mari am Dienstag, 30.08.2011 20:21 Uhr

Tags: ssl hacker domain google mail

• Home
• Board
• News
• NewsPresso
• Internet
• IT-Sicherheit
• Hard- und Software
• Games
• Mobile
• Werbung
• Presse
• Kontakt
• Betreiberinfos
• Chat
• Jobs
• Suche

© 1998-2013 InQnet GmbH