Iran
08/30/2011

Gmail mit falschem SSL-Zertifikat ausspioniert

Hacker drangen in das Netz einer niederländischen Firma ein und generierten SSL-Zertifikate, mit denen iranische Gmail-Nutzer überwacht wurden.

Am Wochenende meldete ein iranischer Gmail-Nutzer erstmals, dass sein Chrome-Browser beim Aufruf einer mit SSL-gesicherten Website eines Zertifikatsfehler meldete. Mehrere Sicherheitsexperten untersuchten die Angelegenheit und bestätigten, dass mit dem gefälschten Zertifikat der E-Mail-Verkehr iranischer Gmail-Nutzer überwacht wurde. Es wird vermutet, dass die iranische Regierung dahinter steckt. Entdeckt wurde das falsche Zertifikat durch ein vor kurzem veröffentlichtes Sicherheitsupdate für den Browser Chrome, das nicht nur die Gültigkeit des Zertifikats überprüft, sondern auch ob es von der richtigen Zertifizierungsstelle stammt.

Das SSL-Zertifikat, das eine verschlüsselte Verbindung zu Googles Gmail-Server sicherstellen sollte, wurde vom niederländischen Unternehmen DigiNotar am 10. Juli ausgestellt. Nutzer und Web-Bürgerrechtsorganisationen vermuten, dass DigiNotar gegen eine entsprechende Summe der iranischen Regierung Zertifikate ausstellte. Einige forderten sogar den „digitalen Tod“ für DigiNotar. Google wird Zertifikate aus dem Chrome-Browser entfernen. Mozilla wird per Update in Kürze Zertifikate von DigiNotar als nicht vertrauenswürdig einstufen und ebenfalls entfernen. Microsoft veröffentlichte eine Warnung und entfernte Zertifikate von DigiNotar aus der Certificate Trust List, die Bestandteil von Windows Vista und Windows 7 ist.

Hackerangriff
Jetzt meldete sich das niederländische Unternehmen zu Wort. Demnach sei am 19. Juli ein Einbruch in die Systeme festgestellt worden. Hacker hätten sich Zugriff verschafft und mehrere SSL-Zertifikate generiert. Die Zertifikate wurden zwar zurückgerufen, doch wie sich jetzt herausstellte, wurde beim Rückruf mindestens ein falsches Zertifikat übersehen. Dies soll aber vor Kurzem ebenfalls zurückgerufen worden sein, nachdem das niederländische GovCERT das Unternehmen darauf aufmerksam machte.

Laut DigiNotar handelte es sich um einen gezielten Angriff auf die Infrastruktur zur Ausstellung von SSL-Zertifikaten. Jetzt wolle das Unternehmen keine Zertifikate mehr ausstellen, bis eine Sicherheitsüberprüfung vorgenommen wurde. Kritiker bemängeln, dass diese Maßnahme erst jetzt ergriffen wurde, obwohl die Cyber-Attacke bereits am 19. Juli bekannt war. Wieviele iranische Nutzer von der Abhöraktion betroffen sind, ist nicht bekannt.