Dipl.-Inform. Carsten Eilers

Sah es anfangs so aus, als hätten die Angreifer "nur" 247 Zertifikate ausgestellt, sind jetzt schon mindestens 531 bekannt. Die niederländische Regierung hat den Entwicklern des Tor-Projekts eine Liste übergeben, die 531 Zertifikate enthält. Folgende Root-Zertifikate wurden verwendet, ihnen sollte daher sicherheitshalber nicht mehr vertraut werden:

• DigiNotar Cyber CA
• DigiNotar Extended Validation CA
• DigiNotar Public CA - G2
• DigiNotar Public CA 2025
• Koninklijke Notariele Beroepsorganisatie CA
• Stichting TTP Infos CA

Die weitreichendsten Zertifikate sind Wildcard-Zertifikate für .com und .org (*.*.com und *.*.org), die aber von den Webbrowsern nicht akzeptiert werden sollten. Ob evtl. andere Anwendungen sie akzeptieren, ist nicht bekannt. Darüber hinaus wurden Zertifikate im Namen anderer CAs ("Comodo Root CA", "CyberTrust Root CA", "DigiCert Root CA", "Equifax Root CA" , "GlobalSign Root CA", "Thawte Root CA" und "VeriSign Root CA") ausgestellt, die als Intermediate-Zertifikate zum Ausstellen weiterer Zertifikate im Namen der betroffenen CA verwendet werden könnten.

Die Auswahl an gefälschten Zertifikaten für normale Domains ist gross:
Von Microsoft-Domains wie microsoft.com, windowsupdate.com, login.live.com und skype.com
über Social Networks und Onlinedienste wie facebook.com, twitter.com, aol.com, android.com und secure.logmein.com
bis zu verschiedenen Geheimdiensten (www.sis.gov.uk (MI6), www.cia.gov und www.mossad.gov.il)
ist alles vertreten, Banken und E-Commerce-Anbieter fehlen jedoch.
Außerdem wurde nun bestätigt, dass Zertifikate für google.com, wordpress.com, addons.mozilla.org, login.yahoo.com und torproject.org ausgestellt wurden.

Listen der betroffenen Domains gibt es sowohl vom Tor-Projekt als auch von der niederländischen Regierung.

Hinweise auf den Angreifer

Ein Zertifikat für die zum Zeitpunkt seiner Erstellung nicht existierenden Domain RamzShekaneBozorg.com liefert vermutlich Hinweise auf den Angreifer:

   CN=*.RamzShekaneBozorg.com,
   SN=PK000229200006593,
   OU=Sare Toro Ham Mishkanam,
   L=Tehran,
   O=Hameye Ramzaro Mishkanam,
   C=IR

Laut Blogeintrag des Tor-Projekts sind Domainname und Texte auf Farsi und bedeuten auf englisch

   "RamzShekaneBozorg" = "great cracker"
   "Hameyeh Ramzaro Mishkanam" = "I will crack all encryption"
   "Sare Toro Ham Mishkanam" = "i hate/break your head"

Das erinnert sehr an den Angreifer auf die CA Comodo im Frühjahr, der ähnlich von sich überzeugt war. In der Tat hat der "ComodoHacker" nun über Pastebin die Verantwortung für den Angriff auf DigiNotar übernommen. Angeblich hat er Zugriff auf vier weitere "HIGH profile CAs", darunter GlobalSign. Als Beweis für seine Behauptung, der Angreifer auf DigiNotar zu sein, hat er den Windows Taschenrechner mit dem gefälschten Google-Zertifikat signiert, wozu er den zugehörigen geheimen Schlüssel kennen muss. Allerdings sollte der Hacker mit seiner Behauptung "Yes, I can't do so much in real world against Israel, Dutch or any anti-Islam country, but I can destroy their IT infrastructure as I do, isn't it?" vorsichtigt sein. Die könnte die US-Regierung auf mehr oder weniger dumme Ideen bringen.

GlobalSign hat aufgrund der Ankündigung von "ComodoHacker" die Ausstellung von Zertifikaten vorübergehend eingestellt. Man nimmt die Behauptung sehr ernst und untersucht das Ganze zur Zeit. Mit den Untersuchungen wurde das niederländische Unternehmen Fox-IT beauftragt, dass zur Zeit auch den Angriff auf DigiNotar untersucht (dazu unten mehr) und daher über Erfahrungen mit den Vorgehensweisen des Angreifers hat.

Neue Updates, neue nicht vertrauenswürdige Zertifikate

Microsoft hat die angekündigten Updates für Windows XP und Server 2003 (und neuere Versionen) veröffentlicht und außerdem allen DigiNotar-Rootzertifikaten das Vertrauen entzogen. Die folgenden Root-Zertifikate gelten damit nicht mehr als Vertrauenswürdig:

• DigiNotar PKIoverheid CA Organisatie - G2
• DigiNotar PKIoverheid CA Overheid
• DigiNotar PKIoverheid CA Overheid en Bedrijven
• DigiNotar Root CA
• DigiNotar Root CA G2

Außerdem werden die Benutzer nun daran gehindert, Websites mit von DigiNotar herausgegebenen SSL-Zertifikaten zu besuchen, während es bisher nur eine (wegklickbare) Warnung gab.

Wer die Updates nicht installieren kann oder möchte, kann die Zertifikate auch ganz oder teilweise manuell löschen. Das ist z.B. in den Niederlanden nötig, da die PKIoverheid-Zertifikate dort u.U. noch gebraucht werden, um mit Behörden kommunizieren zu können. Dort werden die Updates daher auch noch nicht über Windows Update verteilt.

Auch für die Mozilla-Programme Firefox, Thunderbird und SeaMonkey gibt es neue Updates, mit denen auch den PKIoverheid-Zertifikaten das Vertrauen entzogen wird.

Neues zu DigiNotar und dem Angriff

Der niederländische Innenminister hatte bereits angekündigt, ein anderes Unternehmen mit der Absicherung der Regierungs-IT zu beauftragen. Inzwischen wurden erste Maßnahmen ergriffen, die niederländische Regierung hat die Kontrolle über DigiNotar übernommen:

"The Dutch government has taken over operational management from DigiNotar."

Damit soll der Übergang zu anderen Anbietern kontrolliert erfolgen, u.A. um einen evtl. Missbrauch während des Übergangs erkennen zu können.

Das niederländische Unternehmen Fox-IT BV wurde am 30. August mit der Untersuchung des Angriffs und seiner Folgen beauftragt, ein erster Zwischenbericht wurde am 5. September veröffentlicht.

Die erzeugten Zertifikate

Die Seriennummer des für MitM-Angriffe auf Google benutzten Zertifikats konnte in den vom Angreifer manipulierten Logfiles des ausstellenden CA-Servers nicht gefunden werden. Es lässt sich also nicht feststellen, wie viele gefälschte Zertifikate ausgestellt wurden. Um diese nicht registrierten Zertifikate zu erkennen und einen Missbrauch zu verhindern, wurde der Server für das Online Certificate Status Protocol (OCSP) am 1. September so konfiguriert, dass er für jedes in seine Zuständigkeit fallende Zertifikat mit ihm unbekannter Seriennummer mit 'revoked', also zurückgezogen, antwortet. Bei ersten Untersuchungen wurde festgestellt, dass auf das gefälschte Google-Zertifikat vor allem aus dem Iran zugegriffen wurde. Eine weitere Analyse des Einsatzes der Zertifikate gibt es von Trend Micro, auch dort sieht man vor allem die iranischen Internet-Nutzer als Opfer der MitM-Angriffe mit Hilfe des google.com-Zertifikats.

Die Aktionen des OCSP-Servers müssen noch einige Zeit beobachtet und ausgewertet werden, die Liste mit den bisher bekannten 531 Zertifikaten kann also durchaus noch anwachsen.

Die angegriffenen Server

Bei der Untersuchung der verschiedenen CA-Server wurden Spuren des Angriffs sowohl auf den bereits zuvor als kompromittiert bekannten Servern als auch auf weiteren Servern gefunden, einschließlich den Qualified und PKI Overheid CA-Servern. Während auf anderen CA-Servern die Logfiles manipuliert wurden, zeigen die dieser beiden Server keine Hinweise auf gelöschte Einträge. Es wurden aber mehrere Zertifikats-Seriennummern gefunden, die sich keinem vertrauenswürdigen Zertifikat zuordnen lassen. Zwei dieser Seriennummern wurden auf den Qualified und PKI Overheid CA-Servern gefunden. Es ist möglich, dass sie temporär erzeugt aber niemals verwendet wurden oder in Folge eines Programmfehlers entstanden. Es lässt sich aber nicht ausschließen, dass sie zu gefälschten Zertifikaten gehören, so dass weitere Untersuchungen nötig sind.

Die folgenden CA-Server wurden zum Erzeugen gefälschter Zertifikate missbraucht:

• DigiNotar Cyber CA
• DigiNotar Extended Validation CA
• DigiNotar Public CA - G2
• DigiNotar Public CA 2025
• Koninklijke Notariele Beroepsorganisatie CA
• Stichting TTP Infos CA

Der Angriff

Die CA-Server standen zwar in einer sicheren Umgebung, waren aber über das Management-LAN erreichbar. Außerdem waren alle Server Mitglied einer Windows-Domain. Die Angreifer ermittelten eine Benutzername-Passwort-Kombination eines Administrator-Kontos, wobei das Passwort nicht sehr stark war, so dass es sich über einen Brute-Force-Angriff ermitteln ließe. Laut "ComodoHacker" soll es sich um die Zugangsdaten

Username: PRODUCTION\Administrator (domain administrator of certificate network)
Password: Pr0d@dm1n

handeln. Mit diesen Zugangsdaten konnte auf alle Server der Windows-Domain zugegriffen werden. Es gibt zwar ein Intrusion Detection System, es wurden aber keine der bösartigen Zugriffe blockiert. Ein zentraler Logging-Server fehlt wiederum.

Auf den kompromittierten Servern wurde eine Reihe von Tools gefunden, vom bekannten Cain & Abel bis zu speziell für diesen Angriff entwickelter Software. Auf einem der Server wurde ein Skript gefunden, dass in einer nur für die Entwicklung von PKI-Software verwendeten Sprache geschrieben wurde. In diesem Skript hat der Programmierer eine englische Nachricht hinterlassen, die wie zu erwarten war nur so voll Selbstbewusstsein strotzt, z.B. in Form der Aussage

"There is no any hardware or software in this world exists which could stop my heavy attacks
my brain or my skills or my will or my expertise"
Die Schreibweise entspricht dem Original, der Text wurde lediglich von Gross- in Kleinbuchstaben umgewandelt, es gibt ja keinen Grund, rum zu schreien

Ein Teil der gefundenen Schadsoftware wäre von jedem halbwegs aktuellen Virenscanner erkannt worden - wenn denn einer installiert gewesen wäre.

Eine interessante Feststellung gibt es zu den von F-Secure entdeckten Defacement-Spuren auf dem Webserver: Im August wurde von DigiNotar ein neuer Webserver installiert und es wird vermutet, dass diese Spuren vom bisherigen Webserver übernommen wurden. Das ist wohl der Traum jedes Hackers: Das Opfer kopiert sein Defacement auf einen neuen Server. Dessen Software war übrigens (obwohl eigentlich "neu") veraltet und nicht auf dem aktuellen Patch-Stand.

Sollte es nicht noch mehr berichtenswerte Nachrichten rund um DigiNotar geben, geht es in der nächsten Folge halb-planmäßig weiter, mit der bereits für dieser Folge angekündigten Alternative zum bestehenden CA-System.

Carsten Eilers