Gefälschtes Zertifikat öffnet Google für Hacker
Mit Hilfe eines gefälschten SSL-Zertifikats hatten Kriminelle vorgetäuscht, dass die von ihnen ins Netz gestellten Websites von Google kämen. Innerhalb fünf Wochen waren so Indentitätsdiebstahl und Lauschangriffe möglich.
Unbekannten Hackern ist es gelungen an ein SSL-Zertifikat zu kommen, dass von Browsern als reguläres Zertifikat für Google-Dienste interpretiert wurde. Durch diese Man-in-the-middle-Angriffe waren die Kriminellen in der Lage, Zugang zu Nutzerkonten zu erlangen. Das Internet-Zertifikat stammte von der niederländischen Zertifikatefirma Diginotar, die gemäss Google eigentlich keine Zertifikate austellen sollte. Zu deren Kunden gehören unter anderem mehrere niederländische Regierungsstellen. Es seien vor allem Surfer aus Iran vom Zertifikat-Klau betroffen, heisst es in der Mitteilung von Google.
"Das ist ein Joker für sämtliche Google-Domains", erklärte Roel Schouwenberg, Leiter der Malware-Forschung beim russischen Security-Dienstleister Kaspersky Labs, die Lage gegenüber dem Magazin 'InfoWorld'. Angreifer hätten das Zertifikat beispielsweise nutzen können, um Nutzer mit gefälschten DNS-Einträgen auf ihre eigene Seite zu locken, die sich als ein originales Google-Angebot hätte ausweisen können. Die betroffenen Anwendern hätten so keine Chance, das Problem zu erkennen. Fünf Wochen blieb das falsche Zertifikat unentdeckt. Auf die Spur des gefälschten Zertifikats sei Google nur durch eine neue Sicherheits-Funktion in Googles Chrome-Browser gekommen.
Es ist noch offen, was genau schief gelaufen ist. Möglich wäre einerseits ein Fehler seitens eines Mitarbeiters von DigiNotar, aber es könnte auch zu einem Einbruch in das Zertifikat-Vergabesystem gekommen sein. Bereits vor einem halben Jahr hatten iranische Hacker den Zertifizierer Comodo angegriffen. Demnach könnte sich der Angreifer gegenüber Diginotars automatischem Zertifikat-System ganz einfach als Google ausgegeben haben.
Experten warnten bereits beim Comodo-Vorfall Zertifikate-Vergabe, dass die automatisierte Zertifikate-Vergabe eine grosse Sicherheitslücke sei. Wenn Diginotar das Zertifikat tatsächlich ausgestellt hat, wird es sich gegenüber Google ein paar unangenehmen Fragen stellen müssen: So ist es unklar, warum ein Internetriese wie Google bei einer winzigen holländischen Zertifikatestelle um ein Zertifikat anfragt, berichtet Spiegel Online.
Zertifikatestellen sind die ehrlichen Makler des Internets. Alle Web-Browser vertrauen Unternehmen wie Diginotar, Verisign, Comodo bislang blind: Jedem Surfprogramm ist ein sogenanntes Root-Zertifikat eingeimpft, das dem Browser mitteilt, dass zum Beispiel Diginotar-Zertifikate glaubwürdig sind. Dabei kann jeder Zertifizierer der Welt, egal an welchem Ort, Zertifikate für jede beliebige Website ausstellen. Allerdings ist nicht jeder Zertifizierer im Root-Zertifikat als vertrauenswürdig verankert. Dieser erneute Vorfall zeigt auch wieder, wie hoch die Anfälligkeit des Zertifizierungs-Systems ist.
Red Hat und Meta bündeln Kräfte für Open-Source-KI
Mit Daten wirksam steuern und Ziele sichtbar machen
"Akzeptanz ist die wichtigste Messgrösse"
Katzenmusik mal anders
Behörden kämpfen mit KI-Betrug und Budgetmangel
User führen intime Chats mit Meta-KI – und teilen sie mit der ganzen Welt
Wie Cyberkriminelle Discord-Einladungen missbrauchen
Salesforce setzt auf KI-Agenten im Marketing
Warum Behörden mit Standardsoftware besser fahren
