Hacker-Angriff auf die niederländische Zertifizierungsstelle "DigiNotar"

Im Visier der Angreifer sind mehr als 40 verschiedene Netzwerke von Service-Provider und Universitäten

(09.09.11) - Ein Hacker-Angriff auf die niederländische Zertifizierungsstelle "DigiNotar", der in der Presse große Beachtung fand, soll nach einem Bericht von Trend Micro weitreichendere Auswirkungen haben als ursprünglich angenommen und betrifft nach Erkenntnis der Sicherheits-spezialistin eine Vielzahl von .com-Domains wie beispielsweise google.com. Wie interne Nachforschungen von Trend Micro ergeben haben, sind davon in erster Linie die Internet-Nutzer in mehr als 40 verschiedenen Netzwerken von Internet-Service-Providern und Universitäten im Iran im Visier der Angreifer. Mit Hilfe der von den Cyberkriminellen gefälschten digitalen Zertifikate - einer Art digitaler Ausweise - könne der gesamte verschlüsselte Datenverkehr dieser Anwender mitgelesen werden.

Bereits im Juli waren laut Trend Micro Hacker in die Systeme von DigiNotar eingebrochen und hätten falsche SSL-Zertifikate für Hunderte Domain-Namen, einschließlich google.com, sowie für die gesamte .com-Top-Level-Domäne, ausgestellt. Eine Liste mit den gefälschten Zertifikaten, die keinen Anspruch auf Vollständigkeit erhebe, sei unter https://blog.torproject.org/files/rogue-certs-2011-09-04.csv abrufbar.

SSL-Zertifikate stellen eine Art digitalen Ausweis dar, mit dessen Hilfe Web-Browser feststellen können, ob eine Web-Site authentisch ist. Das ist aus Anwendersicht insbesondere beim Online-Banking, der abgesicherten Kommunikation über E-Mail-Anbieter oder bei jeder anderen Web-Site relevant, mit der etwa zum Zweck des Online-Shopping eine sichere Verbindung aufgebaut wird. Erst wenn der Austausch der Zertifikate die Echtheit oder Identität der vom Anwender adressierten Website festgestellt hat, kann die verschlüsselte Kommunikation beginnen.

Das Gefährliche an den gefälschten Zertifikaten sei, dass die Web-Browser der Anwender sie nicht als solche erkennen. Dadurch ließen sie sich für so genannte Man-in-the-Middle-Angriffe missbrauchen. Das heiße, dass die Hintermänner hinter der Attacke den kompletten verschlüsselten Datenverkehr der betroffenen Anwender mitlesen könnten. Die Analyse der Daten aus dem "Smart Protection Network" von Trend Micro zeigen, dass eine Vielzahl von iranischen Internet-Nutzern derzeit mithilfe solcher Angriffe ausspioniert werden. (Trend Micro: ma)