SSL-Zertifikate - die ewige Geschichte...
2012-02-08 19:10
Nach den Problemen bei der CA DigiNotar Mitte letzen Jahres sowie den Hacker Angriffen auf drei andere CAs, ist jetzt schon wieder ein Problem mit einer Zertifizierungsstelle bekannt geworden. Dieses Mal ist es Trustwave welches ein Zertifikat verkauft hat, welches als Man-in-the-Middle-Zertifikat funkiert. Das Zertifikat wurde zwar kurz darauf widerrufen und natürlich gelobt Trustwave Besserung trotzdem bleibt ein fader Beigeschmack bei dieser Geschichte.
Ein solches hier ausgestelltes Zertifikat kann in einem Data Loss Prevention System (kurz DLP) eingesetzt werden und erlaubt somit die Überwachung auch von verschlüsselter Kommunikation in Form einer Man-in-the-Middle-Schnittstelle.
DLPs werden mit Absprache mit Mitarbeitern und Betriebsrat gerne eingesetzt, um zu verhindern, dass Browser und Mailprogramme bei verschlüsselten Verbindungen Fehlermeldungen bringen. Trotzdem kann hier der Datenverkehr überwacht werden und überprüft werden, ob vertrauliche Firmengeheimnisse die Firma verlassen. In der Regel werden für diese DLPs die CAs aber von den zuständigen Admins selbst angelegt.
Angeblich sei zwar bei Trustwave ein entsprechender Vertrag unterzeichnet worden, der sicherstellen soll, dass das Zertifikat nur in spezieller Hardware verwendet wird, aber an sich ist es eine Freikarte, mit diesem Zertifikat alles abzusichern.
So gesehen ist der Antrag im Mozilla Bugtracker auch richtig, CAs das Vertrauen und das Root-Cert zu entziehen, die so ein vorgehen billigen. Heute ist es eine Firma, morgen eine staatliche Organisation und übermorgen können wir gleich die Verschlüsselung sein lassen, weil eh jeder alles mitlesen kann.
Tags: Man-in-the-Middle , SSL , Trustwave , Überwachung , Zertifikat
SSL-Attacke die Zweite und die Macht des Staates...
2011-09-08 07:24
Am 30. August habe ich über den Angriff auf die Niederländische SSL-CA DigiNotar geschrieben. Inzwischen liegt ja auch der Untersuchungsbericht1 vor und was man hier liest ist ja mehr als erschreckend. Es wurden über 500 Zertifikate ausgestellt2. Auch wenn einige total Schwachsinnig sind, ist allein diese Anzahl erschreckend.
Wie konnte so etwas passieren? Die kritische Infrastruktur, die für das Betreiben einer solchen CA notwendig ist, war nur unzureichend geschützt. CA-Server über Management-LAN erreichbar, unsichere Passwörter, Mitglied in einer Windows Domäne usw. Die Ermittler fanden dann auch noch diverse Schadprogramme welche mit einem simplen Virenscanner gefunden werden hätten können. Ein solches Programm war jedoch nicht installiert.
Die niederländische Regierung hat nun die Kontrolle über DigiNotar übernommen. Ob man dadurch wieder mehr Vertrauen in die CA hat überlasse ich jeden selbst. Grund wird jedoch auch mit sein, dass die Regierung selbst Zertifikate3 herausgibt und dies über DigiNotar läuft. Anfänglich hieß es zwar, PKloverheid sei von diesem Angriff nicht betroffen aber dies hatte sich ja inzwischen als falsch herausgestellt.
Das PKloverheid-Stammzertifikat wurde auch noch nicht zurückgezogen was meiner Meinung nach unverantwortlich ist. Natürlich laufen damit verschlüsselte Verbindungen von Computersystemen und auch Regierungsangelegenheiten. Aber doch gerade hier ist es doch wichtig, dass die Echtheit sichergestellt ist. Unter der Hand wird dies übrigens auch als der Grund gehandelt, wieso Microsoft das Update für XP und Windows 2003 noch nicht automatisch verteilt.
Auf der einen Seite sieht man die Macht des Staates, wie dem Iran der sich Zertifikate beschafft um dann Leute auszuspionieren und auf der anderen Seite gibt es die Regierung der Niederlande, die verhindert das Zertifikate zurück gerufen werden um einfach die Kommunikation aufrecht zu erhalten. Die Sicherheit ist so oder so nicht mehr gewährleistet und das Vertrauen in die Verschlüsselung dahin.
Der Hacker hat übrigens zwischenzeitlich ein Manifest4 veröffentlicht, indem er auch behauptet, die Kontrolle über GlobalSign zu haben. Diese CA untersucht den Vorfall und stellt bis auf weiteres keine neuen Zertifikate mehr aus.
1) http://cryptome.org/0005/diginotar-insec.pdf
2) http://www.heise.de/security/meldung/Ueber-500-Zertifikate-Ausmass-des-CA-Hacks-schlimmer-als-erwartet-1336603.html
3) http://www.logius.nl/producten/toegang/pkioverheid/
4) http://pastebin.com/1AxH30em
Tags: Angriff , DigiNotar , GlobalSign , Internet , Iran , Macht , Man-in-the-Middle , Niederland , Sicherheit , Sicherheitsproblem , SSL , Staat
SSL-Attacke die Zweite...
2011-08-30 12:12
Mal wieder gab es ein Leck bei einer SSL-CA. Diesmal hat es die Niederländische DigiNotar erwischt welche gleich mal ein Wildcard-Zertifikat für Google1 (*.google.com) ausgestellt hat. Empfänger war vermutlich die iranische Regierung2 welche hierdurch in der Lage wäre, z. B. Nutzer von Google Mail zu überwachen. Ob noch weitere Zertifikate ausgestellt worden sind, ist zurzeit noch unbekannt.
Nun stellt sich mir schon die Frage, warum DigiNotar hier nicht besser geprüft hat. Vor allem bei einem Wildcard Zertifikat für so einem großen Auftraggeber wie es hier angeblich der Fall gewesen wäre. Oder war der Stolz einen so großen Kunden an Land gezogen zu haben einfach größer wie die Vernunft?
Google3, Mozilla4,5 und Microsoft6,7 haben inzwischen übrigens das Root-Zertifikat von DigitNotar aus dem Zertifikatsspeicher entfernt. Trotzdem bleibt ein fader Beigeschmack den dies war jetzt schon der zweite Vorfall dieser Art binnen weniger Monate (vor kurzen erwischte es einen italienischen Reseller von Comodo8). Wird überhaupt noch geprüft oder nur noch abgezockt?
1) http://pastebin.com/SwCZqskV
2) https://www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-google
3) http://codereview.chromium.org/7795014
4) http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/
5) http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert
6) http://www.microsoft.com/technet/security/advisory/2607712.mspx
7) http://blogs.technet.com/b/michaelkranawetter/archive/2011/08/30/gef-228-lschtes-zertifikat-f-252-r-spoofing-von-google-com-missbraucht.aspx
8) http://www.heise.de/meldung/SSL-GAU-zwingt-Browser-Hersteller-zu-Updates-1212986.html
Tags: Angriff , DigiNotar , Internet , Man-in-the-Middle , Sicherheit , Sicherheitsproblem , SSL
