Security

Comodo: SSL-Zertifikats-Attacke aus dem Iran

Bereits am 15. März ist es Unbekannten gelungen, neun SSL-Zertifikate des Dienstleisters Comodo zu fälschen, mit denen unter anderem Phishing-Attacken durchgeführt werden können. Der Angriff wurde allerdings kurze Zeit später entdeckt. Die Spuren führen in den Iran.

24.03.2011, 15:31 Uhr
Datenaustausch© violetkaipa / Fotolia.com

Ein vom Nutzer weitgehend unbemerkt wirkendes Sicherheitsmerkmal des alltäglichen Datentransfers zwischen Internetgeräten sind SSL-Zertifikate. Sie dienen der Identifizierung von Personen, Servern oder Computern, authentifizieren Dienste oder verschlüsseln Dateien. Zertifizierungsstellen wie Comodo wachen dabei über die Echtheit der digitalen Dokumente. Gelingt es Online-Kriminellen allerdings solche Zertifikate zu fälschen, erhalten sie umfangreiche Möglichkeiten zur Manipulation. Der Nutzer ist hingegen machtlos, denn vorhandene Sicherheitseinrichtungen in Browser und Betriebssystem werden getäuscht. Genau dieser Fall ist vor wenigen Tagen eingetreten, berichten Comodo und Microsoft.

Akute Gefahr vorerst gebannt

Bereits am 15. März wurden insgesamt neun Comodo-Zertifikate gefälscht und für die sieben Domains mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com und "Global Trustee" ausgestellt. Tatsächlich zum Einsatz kam aber nur eines - bei einem Yahoo-Account. Bevor auch die übrigen SSL-Siegel genutzt werden konnten, hatte sie Comodo bereits wieder aus dem Verkehr gezogen und auf eine offizielle Blacklist (Certificate Revocation List) gesetzt.

Die Fälschungen werden daher in der Regel von softwareseitigen Schutzmechanismen erkannt und geblockt. Browser, die über das sogenannte Online Certificate Status Protocol (OCSP) verfügen, sollen ebenfalls Alarm schlagen. Microsoft hat zusätzlich am 23. März ein außerplanmäßiges Update für sämtliche Windows-Versionen zur Verfügung gestellt, um eine Gefährdung von Nutzern unter allen Umständen auszuschließen. Dieses wird automatisch ausgeliefert und stuft die Zertifikate innerhalb des Betriebssystems als nicht vertrauenswürdig ein.

Gezielter Angriff aus dem Iran vermutet

Comodo sicherte zu, dass die Sicherheit der eigenen Infrastruktur weiterhin gewährleistet sei. Die Attacke habe vielmehr einen externen Dienstleister betroffen, der berechtigt gewesen sei, Zertifikatsanfragen zu bearbeiten. Den Angreifern sei es dabei gelungen, mit im Vorfeld abgefischten Zugangsdaten in dessen Systeme einzudringen und die SSL-Siegel ohne notwendige Identitätsprüfung zu validieren.

Die registrierten IP-Adressen der Täter führen in den Iran. Comodo vermutet daher, es handele sich um eine gezielte Aktion des regierenden Regimes, um angesichts der insbesondere über das Internet initiierten revolutionären Umstürze in Nordafrika eigene Oppositionsbewegungen von der webbasierten Kommunikation abzuhalten.

(Christian Wolf)

Kommentieren Forum
Zum Seitenanfang