Technik

Nutzer wochenlang ausspioniert Iran fälscht Google-Zertifikat

Gmail_Warnung.jpg

Diese Warnung machte den iranischen Nutzer "Alibo" auf das gefälschte Zertifikat aufmerksam.

Die iranische Regierung spioniert offenbar mit einem gestohlenen SSL-Zertifikat wochenlang Nutzer von Google-Diensten aus. Die Spitzel können den kompletten Datenverkehr ihrer Opfer mitschneiden. Der niederländische Aussteller des Zertifikats meldet erst nach Bekanntwerden des Problems, dass Hacker auf seine Server zugreifen konnten.

SSL-Zertifikate sollen Nutzer davor bewahren, auf gefälschte Webseiten hereinzufallen. Üblicherweise zeigen Browser durch eine Farbmarkierung der URL an, dass eine SSL-verschlüsselte Seite tatsächlich die ist, für die sie sich ausgibt. Diese Authentifizierungen werden von zugelassenen Zertifizierern (Certificate Authorities) erstellt. Vertrauenswürdige Zertifizierer werden in Browsern vorinstalliert (Root-Zertifikat), andere Zertifikate müssen Anwender zuvor bestätigen. Dieses Verfahren gilt als so zuverlässig, dass die meisten Nutzer sich hundertprozentig sicher fühlen, wenn ihr Browser ihnen grünes Licht gibt.

Sicher gefühlt haben sich vermutlich auch Millionen iranische Nutzer, die in den vergangenen Wochen Google-Dienste nutzten. Schließlich zeigte ihnen ihr Browser an, dass eine sichere SSL-verschlüsselte Verbindung zu Google.com oder eine der Subdomains bestand. Tatsächlich war das Zertifikat der Seite an sich echt. Ausgestellt wurde es von "Diginotar", einem niederländischen Zertifizierer.

Offenbar gingen die Nutzer aber in eine Falle der iranischen Regierung. Sie hatte vermutlich das Zertifikat bei "Diginotar" gestohlen oder stehlen lassen, um damit Google-Nutzern vorzugaukeln, sie befänden sich auf sicheren Seiten. So konnten die Spitzel einen sogenannten Man-in-the-middle-Angriff durchführen, bei dem sich der Spion unbemerkt zwischen Nutzer und Webseite schaltet und so den kompletten Datenverkehr mitschneiden kann. In Iran nutzten die Angreifer das geklaute Zertifikat offenbar dazu, um Google-Mail-Nutzer auszuspionieren. Möglicherweise gelangten sie so an Informationen, die zu Festnahmen von Regimekritikern führten.

Chrome hat aufgepasst

Aufgeflogen ist das falsche Zertifikat durch einen iranischen Nutzer namens "Alibo", der sich in sein Gmail-Konto einloggen wollte und vom Chrome-Browser gewarnt wurde, dass das Zertifikat, das am 10. Juli ausgestellt wurde, nicht gültig sei. Googles Chrome überprüft derzeit als einziger Browser seit Mitte Juni nicht nur die Echtheit eines Zertifikats, sondern auch, ob der Aussteller zuständig ist.

Microsoft und Google haben das Problem bestätigt. Microsoft teilt mit, dass sie Diginotar aus ihrer Liste der vertrauenswürdigen Zertifizierer geworfen haben und Nutzer des Internet Explorer sicher sind, wenn sie Windows Server 2008, Windows Vista oder Windows 7 installiert haben. Für XP hat Microsoft ein Update angekündigt. Auch Mozilla hat das Vertrauen in Diginotar verloren und will in Kürze einen Patch für seinen Browser Firefox und das E-Mail-Programm Thunderbird bereitstellen. Firefox-Nutzer können das Root-Zertifikat aber auch manuell entfernen. Dazu klicken man in "Einstellungen" - "Erweitert" - "Verschlüsselung" auf "Zertifikate anzeigen" und markiert dort den Diginotar-Eintrag. Wenn man dann auf "Löschen oder Vertrauen entziehen ..." klickt, hat sich das Problem erledigt.

Problem verschwiegen

Diginotars Mutterunternehmen Vasco hat erst jetzt bekanntgegeben, dass es bereits am 19. Juli festgestellt hat, dass Unbekannte auf Diginotar-Server zugegriffen haben, um Zertifikate für mehrere Domains zu generieren - darunter auch google.com. Angeblich hat Diginotar daraufhin alle gefälschten Zertifikate zurückgezogen, aber offensichtlich "mindestens eins übersehen". Nachdem die niederländische Behörde Govcert darauf aufmerksam machte, habe man aber umgehend reagiert, teilt der Zertifizierer mit.

Die Niederländer wollen erst dann wieder SSL-Zertifikate anbieten, wenn ihre Server von einem Drittanbieter abgesichert wurden. Ob die Kunden künftig Zertifikaten von Diginotar wieder ihr Vertrauen schenken, ist jedoch zweifelhaft. Der Kurs der Vasco-Aktie gab daher in Frankfurt auch um rund 6 Prozent nach.

Doch das SSL-Desaster trifft nicht nur Vasco und Diginotar. Bis auch die anderen Browser-Hersteller wie Google mehr als die allgemeine Echtheit von SSL-Zertifikaten prüfen, können sich die Nutzer trotz grün eingefärbter URL nicht sicher sein, auf einer vertrauenswürdigen Seite zu sein.

Quelle: n-tv.de