Skip to content

Jede Menge Wiederholungen: WM-Titel, gefälschte SSL-Zertifikate, Zeus-Botnets, ...

Heute gibt es jede Menge Wiederholungen zu kommentieren. Los geht es mit "dem Thema" der Woche, das kann ich ja schlecht ignorieren. Wir sind Fussball-Weltmeister! Wir? Nicht die Fußballnationalmannschaft? Naja, wir waren ja auch schon mal Papst, warum also nicht. Aber eigentlich war das doch wohl klar, oder? Alle 20 Jahre geht der Pokal traditionell nach Deutschland: 1954, 1974, 1990 war ein kleiner Timing-Fehler (der Teamchef war von der Pokalüberreichung wahrscheinlich völlig überrascht: "Ja, is' denn heut’ scho’ 94?"), 2014. Und 2034 ist der Titel Deutschland damit schon sicher. Eigentlich kann man auf die Veranstaltung also verzichten, das Geld für deutlich nützlichere Zwecke als den Bau von Stadien, die nach der WM niemand mehr braucht verwenden und den Pokal direkt nach Deutschland schicken.

Aber kommen wir zu den Wiederholungen in der IT(-Sicherheit). Eigentlich war die vorige Woche ziemlich langweilig, fast alles ist so oder so ähnlich schon mal da gewesen:

Gefälschte Zertifikate - wie oft hatten wir das eigentlich schon?

Fangen wir mit den SSL-Zertifikaten an: Google hat mal wieder eine CA erwischt, die unbefugt Zertifikate für Google-Dienste und andere Server ausgestellt hat: Das indische National Informatics Centre (NIC). Ich habe irgendwann aufgehört zu zählen, die wie vielten gefälschten Zertifikate sind das? Sind wir noch im dreistelligen Bereich oder schon im vierstelligen?

Beim "NIC" handelt es sich um eine Sub-CA der "Indian Controller of Certifying Authorities" (India CCA), die in Microsofts Root-Store enthalten ist (und nur dort). Daher sind nur Programme von den gefälschten Zertifikaten betroffen, die Windows Zertifikatsprüfung verwenden. So zum Beispiel der Internet Explorer und Chrome (dort verhindert das Zertifikat-Pinning jedoch die Verwendung der falschen Zertifikate für die Google-Dienste), nicht aber der einen eigenen Root-Store nutzende Firefox.

Falsche SSL-Zertifikate herausgeben ist ja nun ein alter Hut. Eigentlich sollte die CA wissen, dass das nach hinten los geht und ihr das Geschäft versaut: Wenn das eigene Root-Zertifikat nicht mehr in den Root-Stores ist, ist es vorbei mit dem Zertifikate ausstellen. Wer will schon ein Zertifikat von einer CA, der niemand vertraut? Und in der Tat hat Microsoft drei Zertifikaten der Sub-CA das Vertrauen entzogen. Das zugehörige Security Advisory listet 45 Domains auf, für die gefälschte Zertifikate ausgestellt wurden.

India CCA hatte zuvor behauptet, dass die "Prozesse" des NIC kompromittiert waren und nur vier gefälschte Zertifikate ausgestellt wurden. Das danach keiner mehr Vertrauen in diese Sub-CA hat dürfte klar sein. Egal ob die Zertifikate nun nach einer Kompromittierung oder absichtlich ausgestellt wurden - beides darf einer CA nicht passieren. Ich persönlich habe auch kein Vertrauen in die India CCA, dann auch eine falsche Behauptung über die Folgen des Vorfalls auf zu stellen ist nicht besonders vertrauenserweckend.

Aber zur Frage, ob man den ganzen Root-Zertifikaten überhaupt vertrauen sollte habe ich ja schon des öfteren was geschrieben. Kurz zusammengefasst: Warum sollte man? Wieso sollte ich einem Root-Zertifikat einer indischen Behörde vertrauen? Oder der irgend eines anderen Staates? Mein Vertrauen ist ausländische Behörden ist, sofern es um IT-Sicherheit geht, doch ziemlich genau bei "Null" angelangt. Angesichts dessen, was NSA und Co. so treiben muss man da wohl immer davon aus gehen, dass die falsch spielen. Und was die ganzen dubiosen kommerziellen CAs betrifft, von denen (vielleicht außer im eigenen Land) wohl kaum jemand jemals gehört hat - warum sollte ich denen vertrauen?

ich habe schon vor einigen Jahren etliche davon gelöscht und nie Probleme dadurch gehabt. Entweder nutzt überhaupt niemand davon ausgestellte Zertifikate, oder zumindest kein Server, den ich besuche. Und auch einige Forscher der Universitäten Hannover und Bonn haben ja Anfang des Jahres festgestellt, dass zumindest für HTTPS sehr viele Root-Zertifikate überflüssig sind, da viele CAs noch nie HTTPS-Zertifikate ausgestellt haben (PDF).

Zeus und Co. sind einfach nicht tot zu kriegen

Die Schädlinge wohlgemerkt, mit dem gleichnamigen Gott kenne ich mich nicht aus. Sie erinnern sich vielleicht: Das auf der Zeus-Variante GameOver basierende Botnet wurde lahm gelegt. Nun, lahm gelegt ist nicht tot, und der Lahme ist schon wieder aktiv. Zwar zunächst nur vereinzelt, aber das kann sich schnell ändern, die Bots verbreiten sich ja lawinenartig. Erst sind es nur einige wenige Exemplare, die sich selbst verbreiten. Dann werden es mehr, und mehr, und mehr... Da bin ich ja mal gespannt, wie lange es dauert, die neue Variante und deren Hintermänner lahm zu legen. Und ob das dann von Dauer ist.

Angesichts dieser Entwicklung frage ich mich auch, wie lange der neueste Schlag der Strafverfolger gegen Cyberkriminelle wirkt: Die Command&Control-Server des Onlinebanking-Trojaners Shylock/Caphaw wurden ausgeschaltet. Den Hintermännern geht es zumindest noch nicht an den Kragen. Es ist also durchaus möglich, dass die "einfach" mit einer neuen C&C-Infrastruktur weiter machen. Oder vielleicht wechseln sie auch zu einem anderen Schädling. Zum Beispiel dem Trojaner "Tinba", dessen Sourcecode im Internet aufgetaucht ist. Was ja auch schon öfter passiert ist. Und dann zu neuen Versionen der Schädlinge geführt hat. Aktuell zum Beispiel zu einer neuen Zeus-Variante.

Irgendwie drängt sich mir der Verdacht auf, dass die Cyberkriminellen mit den Strafverfolgern das Rennen zwischen Hase und Igel nachstellen. Und als wenn die Strafverfolger ziemlich stumpfe Stacheln hätten. Oder so.

WiFi-fähige LED-Lampen sind unsicher! - Ach?

Ein letztes Déjà-vu: Bestimmte WiFi-fähige LED-Lampen enthalten einige Schwachstellen. Zum Glück sind die nur über WiFi und nicht das Internet ausnutzbar. Aber auch dafür gibt es bereits zu viele Beispiele, die ich nicht nur hier im Blog sondern auch im entsprechenden Artikel im Entwickler Magazin 4.2014 und im Spezial "Internet of Things" aufgeführt habe. Die Entwickler des IoT nehmen das mit der Sicherheit noch nicht so ernst, die freuen sich, wenn sie ihre Dinge ans Internet anschließen können. Wenn es dann die ersten tatsächlichen Angriffe gibt, wird es für viele ein böses Erwachen geben. Sofern man nicht bald durch die Warnrufe der Sicherheitsforscher geweckt und aktiv wird.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : SSL/TLS - Mal wieder einige schlechte Nachrichten!

Vorschau anzeigen
Heute gibt es mal wieder einige Nachrichten rund um SSL/TLS und das Zertifikatssystem. Natürlich schlechte. Gab es dazu eigentlich auch mal gute Nachrichten? Erinnern kann ich mich gerade an keine. Eine CA verspielt das in sie gesetzte Ve