DigiNotar-Hack: Kritische Infrastruktur war unzureichend geschützt

DigiNotar hatte laut einem ersten Zwischenbericht den Angreifern durch mangelnden Schutz Tür und Tor geöffnet. Ein Bekennerschreiben deutet darauf hin, dass der oder die Täter auch für den Einbruch bei einem Comodo-Reseller verantwortlich sind.

In Pocket speichern vorlesen Druckansicht 113 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Ronald Eikenberg

Die kritische Infrastruktur bei der kompromittierten Zertifizierungsstelle DigiNotar war unzureichend geschützt. Das geht aus dem Zwischenbericht (PDF) des Sicherheitsunternehmens Fox-IT hervor. Demnach standen die CA-Server zwar in einer sicheren Umgebung, waren jedoch über das Management-LAN erreichbar. Dadurch konnte sich der Angreifer wohl von außen zu den CA-Servern weiterhangeln. Die Server seien mit einem schwachen Passwort geschützt gewesen, das man leicht per Brute Force hätte knacken können.

Alle CA-Server waren dem Bericht zufolge Mitglied einer Windows-Domain, sodass der Angreifer mit den einmal erbeuteten Zugangsdaten auf sämtliche Server zugreifen konnte. Auf kritischen Servern entdeckten die Sicherheitsexperten Schadsoftware, die von gängiger Antivirensoftware mühelos erkannt wird – eine solche war auf den Systemen allerdings nicht installiert. Zudem war die Software auf den öffentlich zugänglichen Webservern laut dem Bericht veraltet.

Auf den kompromittierten Systemen fanden die Ermittler zudem neben ganz profanen Security-Tools wie Cain & Abel auch speziell für diesen Einsatz zugeschnittene Tools und Skripte. Das Skript, das der Hacker offenbar zur Signierung der falschen Zertifikate eingesetzt hat, nutzt ein spezielles API, das nur im Umfeld von CAs eingesetzt wird. In diesem Skript hat sich der Angreifer in englischer Sprache mit den Worten verewigt: "Ich weiß, dass euch mein Können schockiert. […] Es gibt keine Hardware oder Software auf dieser Welt, die meine heftigen Attacken stoppen kann."

Signiert ist das "Bekennerschreiben" mit den persischen Worten "Janam Fadaye Rahbar", was man mit "Ich opfere mich für den großen Führer" übersetzen kann. Diese Worte finden sich auch in dem Manifest, das schon der mutmaßliche Comodo-Hacker ins Netz gestellt hat. Ob es sich um dieselbe Person handelt oder eine Gruppe von Hackern den gleichen Spruch benutzt, ist unklar.

Der Zwischenbericht bestätigt die Zahl der 531 durch den Angreifer ausgestellten Zertifikate. Allerdings sei nicht auszuschließen, dass darüber hinaus bei dem Vorfall noch weitere Zertifikate ausgestellt wurden, da nach dem Einbruch Log-Dateien gelöscht wurden. Aus diesem Grund wurde laut Bericht auch das Google-Zertifikat nach der ersten Analyse des Einbruchs nicht zurückgerufen – DigiNotar wusste schlicht und ergreifend nicht von dessen Existenz.

Der Angreifer hatte auch Zugriff auf den CA-Server PKIoverheid, der von den niederländischen Behörden genutzt wird. Allerdings sind die Log-Dateien hier vollständig, was nach Meinung der Experten darauf hindeutet, dass der Server nicht missbraucht oder manipuliert wurde, berichtet Fox-IT. Zwar fanden sie hier zwei Seriennummern von bis dato unbekannten Zertifikaten, es sei jedoch möglich, dass diese von der CA-Software temporär erzeugt worden sind oder durch einen Bug entstanden seien, so die Experten.

Bei der Logfile-Auswertung des OCSP-Responders, an den die Browser beim Besuch einer von DigiNotar signierten Seite eine Anfrage senden, stelle sich heraus, dass bislang wohl nur das Google.com-Zertifikat im großen Stil für Abhörmaßnahmen missbraucht wurde. Es gingen rund 300.000 verschiedene Anfragen (Unique IPs) ein, davon über 99 Prozent aus dem Iran.

Auch TrendMicro hat einen drastischen Anstieg von OCSP-Anfragen an DigiNotar aus dem Iran registriert. Besonders besorgniserregend ist die Tatsache, dass die Zugriffe laut TrendMicro von über 40 verschiedenen ISPs und Unis ausgingen. Eine derart großflächlig angelegte Abhörmaßnahme ist kaum ohne staatliche Hilfe umzusetzen.

[Update]Der mutmaßliche Comodo- und DigiNotar-Hacker hat eine weiteres Manifest veröffentlicht. Darin gibt er an, Zugriff auf vier weitere Certificate Authorities zu haben, um sich jederzeit beliebige Zertifikate auszustellen. Namentlich nennt er in seinem Manifest jedoch nur GlobalSign. Daneben will er auch der Hacker gewesen sein, der im Juni in die Server des israelischen Zertifikatsherausgeber StartCom eingedrungen ist.[/Update]

(rei)