Vor einigen Tagen wurde bekannt das bereits Anfang Juni(!!) bei einem Hack der niederländischen Zertifizierungsstelle “DigiNotar” mehr als 500 “gefälschte” Zertifikate ausgestellt wurden.

Unter den Zertifikaten befinden sich folgende Wildcard Zertifikate:

  • *.*.com
    *.*.org
    *.10million.org
    *.android.com
    *.aol.com
    *.azadegi.com
    *.balatarin.com
    *.comodo.com
    *.digicert.com
    *.globalsign.com
    *.google.com
    *.JanamFadayeRahbar.com
    *.logmein.com
    *.microsoft.com
    *.mossad.gov.il
    *.mozilla.org
    *.RamzShekaneBozorg.com
    *.SahebeDonyayeDigital.com
    *.skype.com
    *.startssl.com
    *.thawte.com
    *.torproject.org
    *.walla.co.il
    *.windowsupdate.com

Eine vollständige Liste der Zertifikate gibt es hier.

 

Der Angriff wurde entdeckt weil in Googles Chrome Browser die gültigen Zertifikate fix hinterlegt sind, der Browser also beim Anzeigen vermeintlich authentischer Google Inhalte gemeckert hat. Wenn die “Täter” den “User Agent String” von Chrome gefiltert hätten, wer weiß wann (und ob) dieser Hack öffentlich geworden wäre…

Vermutungen wie viele derartige Angriffe bisher unerkannt geblieben sind und wer dahinter steckt überlasse ich anderen. Ich hoffe allerdings dass die Debatte um Sicherheit und das “Web of Trust” weitergeführt wird und durch solche krassen Vorfälle mehr Aufmerksamkeit bekommt.

 

 

Betroffene CAs

Folgende Zertifizierungsstellen müssen aus allen Browsern, Applikationen und Betriebssystemen verschwinden, sie gelten als NICHT mehr Vertrauenswürdig:

Certificate Issued by Thumbprint
DigiNotar Root CA DigiNotar Root CA c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c
Root CA G2 DigiNotar Root CA G2 43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3
PKIoverheid CA Overheid Staat der Nederlanden Overheid CA b5 33 34 5d 06 f6 45 16 40 3c 00 da 03 18 7d 3b fe f5 91 56
PKIoverheid CA Organisatie - G2 Staat der Nederlanden Organisatie CA - G2 5d e8 3e e8 2a c5 09 0a ea 9d 6a c4 e7 a6 e2 13 f9 46 e1 79
PKIoverheid CA Overheid en Bedrijven Staat der Nederlanden Overheid CA 40 aa 38 73 1b d1 89 f9 cd b5 b9 dc 35 e2 13 6f 38 77 7a f4

Windows Update

Microsoft hat inzwischen reagiert und ein Windows Update zur Verfügung gestellt, genauere Informationen findet man im Microsoft Security Advisory (2607712).

Wie an vielen Stellen zu lesen ist soll es mit diesen Zertifikaten möglich sein gefälschte Windows Updates zu verteilen, das ist laut Microsoft NICHT der Fall. Der Windows Update Client installiert ausschließlich Pakete die mit dem “Microsoft Root Certificate” signiert sind.

 

Firefox

Für Mozilla Firefox wir ein Update in kürze erwartet, hier empfiehlt es sich die genannten CAs manuell zu entfernen!

Unter Einstellungen, Erweitert, Verschlüsselung klickt man auf “Zertifikate anzeigen”. Jetzt bekommt man eine Liste der Zertifizierungsstellen und kann das Vertrauen entziehen.

Weitere Infos im Mozilla Security Blog.

 imageimage

 

Apple

Apple hat wohl zur Zeit andere Prioritäten, MAC Benutzer sollten auf jeden Fall manuell die oben genannten Zertifikate entfernen. Chester Wisniewski von Sophos beschreibt das Ganze so:

What about Apple users? Well, apparently they are too busy playing Angry Birds and making pictures in Photoshop to worry about pesky certificate issues.</p>

My advice if you run a Mac? Use BootCamp and Windows 7 until Apple decides to provide a patch. Or I guess you could use Firefox (not Chome, it also uses Apple's KeyChain)...</code>

Ein erster Bericht der Security Consultants Fox-IT zum Thema ist verfügbar:

http://www.rijksoverheid.nl/ministeries/bzk/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html

stay secure Zwinkerndes Smiley
tom

This post has been migrated from our earlier blog based on BlogEngine.NET.