06. September 2011
Posted in Internet News

Das Sicherheitsunternehmen Fox-IT legt der niederländischen Regierung einen ersten Bericht zur Situation des Zertifikate-Händlers Digi-Notar und des dort beobachteten Hacker-Angriffs vor. Für eine vorläufige Bewertung ist die Darstellung der Sicherheitsexperten schon sehr eindeutig und sie legt nahe, dass man bei Digi-Notar bisher keinen sehr hohen Sicherheitsanspruch pflegte.

Bei der Auswertung der Daten des Unternehmens zeigte sich ansonsten, dass die falschen Zertifikate vermutlich sehr häufig zum Einsatz kamen. Etwa 300.000 IPs haben beispielsweise alleine das gefälschte Google-Zertifikat eingesetzt, dessen Entdeckung am 27. August den gesamten Schwindel auffliegen ließ. Die IP-Adressen lassen sich laut Fox-IT zu 99% iranischen Rechnern zuordnen. Es bestehen auch keine Zweifel, dass die teilweise noch bis September anhaltenden Angriffe auf die Server des Unternehmens im Iran ihren Ursprung haben.

Die Liste der IP-Adressen wird Google übergeben, mit der Aufforderung, die entsprechenden Google-Konten zu identifizieren und deren Inhaber über die Situation zu informieren. Die Kommunikation dieser Personen mit ihrem Konto könnte in den letzten Wochen überwacht worden sein und es ist nicht auszuschließen, dass dabei auch Cookies abgefangen wurden. Sofern in der Zwischenzeit kein Logout des jeweiligen Rechners stattfand, wäre ein Zugriff auf das Google-Konto mit dem Cookie denkbar.

Über den Umfang der Nutzung der weiteren 530 gefälschten Zertifikate gibt es keine Informationen. Sicher ist dagegen, dass auf den Servern von Digi-Notar eine große Bandbreite an bösartiger Software zu finden war. Das Spektrum reicht dabei von "gebräuchlichen Werkzeugen" bis hin zu "maßgeschneiderter" Software.

Wenig ermutigend ist dabei die Angabe von Fox-IT, dass auf den Servern mit den kritischsten Funktionen Malware zu finden war, die mit herkömmlicher Antiviren-Programmen hätte aufgespürt werden können. Und Fox-IT stellt fest, dass die Server zwar von ihrer physikalischen Lokation her sicher untergebracht waren. Doch auf die Server konnte über das LAN Zugriff genommen werden. Überhaupt wurde das Server-Netzwerk unter einer einzigen Windows-Domäne betrieben, alle Server waren über die gleiche Authentifizierung ansprechbar und das genutzte Passwort für den Admin-Zugang war zu schwach.

Insgesamt also gute Voraussetzungen für iranische Hacker, aber keine gute Voraussetzungen für eine vertrauenswürdige SSL-Verschlüsselung.

Links:

• Fox-IT erster öffentlicher Bericht