Advertisements

Zertifikate Gau bei Xing SSL Zertifikate Anbieter Comodo


Heute ist eine ziemlich beunruhigende Meldung umhergegangen, insbesondere über die weitverbreiteten Heise News, der von den Securityxperten dort sogar als GAU bezeichnet wird: Beim Zertifikatshersteller Comodo wurden 9 Zertifikate von bestehenden Webseiten gestohlen. Dieser bietet Zertifikate für die SSL Verschlüsselung verschiedener Webseiten an, unter anderem dem Hamburger Social Net Betreiber Xing (Update: Der nicht betroffen ist, siehe Update II).

Was ist ein Zertifikat?

Das Zertifikat ist quasi ein signierter Schlüssel, über den eine Webseite mit Ihrem Rechner kommuniziert.

Es gibt http und https – Verbindungen. Bei Zweiteren wird eine gesicherte Verbindung aufgebaut.

Stellen Sie sich eine Straße und einen Tunnel vor: Auf der Straße sehen Sie, wer da langfährt, beim Tunnel nicht. Die Straße entspricht http, der Tunnel https. Das Zertifikat ist nun ein Beweis, dass der Tunnel zu einem bestimmten Punkt (also Website) führt.

Was kann ein Angreifer damit tun?

Ein Angreifer, der eines der Zertifikate erbeutet hat, kann sich als bestehende Website ausgeben, so dass es der Benutzer nicht merkt. Gerade im Online Banking wäre das fatal, wenn ich einem Unbekannten meine Kontodaten zur Verfügung stellen würde. Allerdings: Der Angreifer kann sich nur als die Website ausgeben, für die das Zertifikat ausgestellt ist.

Welche Seiten sind betroffen

Es können alle Seiten betroffen sein, die ein Zertifikat der Firma Comodo verwenden. Ich habe stichprobenartig einige Banken angeschaut, alle von mir angeschauten verwendeten ein Zertifikat der Firma VeriSign. Diese waren

  • Sparkasse (als Beispiel hatte ich Hameln)
  • Volksbank (als Beispiel hatte ich Hameln)
  • Postbank und BHW
  • Targobank (Formerly known as Citibank)
  • Deutsche Bank

Ich kann aber nicht für alle sprechen. Sie können das Zertifikat aber schnell selber überprüfen:

Zertifikat überprüfen

Zertifikat überprüfen

Einfach über den Browser auf das Schlosssymbol fahren und das DropDown Menü benutzen. Hier kommt ein Punkt „Zertifikate anzeigen“, wo man die Verifikation überprüfen kann.

Sind Social Networks betroffen?

Ich habe mir  die drei größten Social Networks angeschaut:

Zertifikate SNs

Zertifikate SNs

Während LinkedIn über den amerikanischen Anbieter Thawte, nutzt Facebook den amerikanischen Herausgeber DigiCert.

Der deutsche Social Network Anbieter Xing, der den meisten Traffic über https abwickelt, ist ausgerechnet mit seinen Zertifikaten bei Comodo.

Xing Zertifikat Comodo

Xing Zertifikat Comodo

Das eine Zertifikat, das gestohlen wurde, ist auf addons.mozilla.org ausgestellt, über die anderen 8 Zertifikate ist zum jetzigen Zeitpunkt nichts bekannt. (Update: Xing scheint nicht betroffen zu sein).

Soll ich mich nicht mehr bei Xing einloggen?

So weit würde ich als Ratschlag nicht gehen. Allerdings ist erhöhte Vorsicht angesagt, insbesondere bei ungefragt zugesendeten Links zur Xing Website.

  • Wenn möglich, direkt über www.xing.com anmelden
  • Oder über Bookmarks

Andere Wege würde ich im Moment nicht nutzen. Dieses betrifft auch die vielen Mailfooter, wo gern eine Xingadresse angegeben ist.

Ich habe beim Xing Support um ihre Meinung gebeten, bis jetzt aber keine Antwort erhalten.

Wenn ich das Thema schon mal aufgreife eine Bitte an die Techniker aus Hamburg: Es wäre schön, wenn mittlerweile alles über https ausgegeben wird, gerade für Basismitglieder ist die eingebundene Werbung über http sehr ärgerlich, da die Browser immer Böses ahnen…

unsichere Werbung

unsichere Werbung

Ansonsten sei noch mal betont, dass Xing alles richtig gemacht hat, in diesem Fall hatten die auf Sicherheit bedachten Hamburger einfach Pech. Das ist so, als wenn Sie immer auf Ihre Schlüssel für das Auto aufpassen – aber dem Hersteller ein Zweitschlüssel für Ihr Auto mit ihrer Adresse darauf wegkommt.

Es besteht auch eine gute Chance, dass Xing gar nicht betroffen ist, dieses kann aber nur Comodo bestätigen. Der aktuelle Blogbeitrag von Comodo ist hier sehr schwammig formuliert und enthält sogar Hinweise, dass der Angriff aus dem Iran kam und soziale Netzwerke zum Ziel hatte. Ein kurzfristiger Austausch des Zertifikates oder besser des Anbieters würde wieder Sicherheit bringen.

Update

Heute ist bei Heise ein Update erschienen, der unter anderem einige der betroffenen Seiten auflistet, deren Zertifikate zurückgezogen werden mussten. Hierbei handelt es sich um

Addon Mozilla org war ja bereits gestern bekannt. Die Liste ist nach wie vor nicht vollständig. Insbesondere ist es spannend, wer der „nicht näher bezeichneter Global Trustee“ ist. Bei einigen Browsern (Mozilla und Google Chroome) ist dass Problem auch bereits gelöst, so dass man gefahrlos auf Seiten der genannten surfen kann.

Update II

Eben hat mir ein Mitarbeiter von Xing den Nachweis gesendet, dass keins der Zertifikate der Xing AG betroffen ist. Stellt sich die Frage, ob der Provider nicht schnellstmöglich gewechselt werden sollte. Um Beispiel Auto zu bleiben, was nutzt mir eine gute Diebstahlanlage, wenn der Hersteller mit Nachschlüsseln recht sorgenfrei umgeht.

Advertisements
2 Kommentare
  1. Jan sagte:

    Da wurde nichts geklaut. Es wurden neue Zertifikate für die Seiten beantragt. Was hat das überhaupt mit Xing zu tun? Es gibt noch nen Dutzend andere Seiten die von Comondo singnierte Zertifikate verwenden.

    Die Gefahr liegt darin das jemand die Kontrolle über einen DNS Server hat und Nutzer auf eine gefälschte Seite leitet. Wenn der Browser das Zertifikat überprüft und feststellt, dass es von Comondo signiert wurde, betrachtet er die Seite als gültig. Das geht für jede einzelne Webseite die bei Comondo in dieser Attacke beantragt wurde.

    Da man für den Spass aber die DNS Einträge kontrollieren muss, braucht man entweder die Kontrolle über nen DNS Server oder den Rechner selbst. Die Gefahr die von dem Ganzen ausgeht ist doch eher gering.

    • LinkedInsider sagte:

      Hallo Jan,

      danke für den Input. Es gibt tatsächlich einige Anbieter, die SSL via Comodo anbieten. Und Du hast in so weit recht, dass der Zugang zu Comodo entwendet wurde. Dadurch wurden (laut Heise) Zertifikate kompromittiert, dessen Eigentümer am Anfang nicht bekannt waren. Die Gefahr war nicht sehr hoch, aber vorhanden.

      Liebe Grüße
      Stephan

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: