Logo von Security

Suche
Jürgen Schmidt 176

Trustwave verkaufte Man-in-the-Middle-Zertifikat

Der Zertifikatsherausgeber Trustwave hat einer Firma ein Zertifkat verkauft, mit dem sich diese gültige Zertifikate für beliebige Server ausstellen konnte. Damit war es ihr dann möglich auch den verschlüsselten Datenverkehr ihrer Mitarbeiter etwa mit Diensten wie denen von Google oder Hotmail zu überwachen. Mittlerweile habe man das CA-Zertifikat jedoch widerrufen und werde das zukünftig auch nicht mehr tun, gelobt der Zertifikatsherausgeber.

Anzeige

Das Herausgeber-Zertifikat kam in einem Data Loss Prevention System (DLP) zum Einsatz, das verhindern soll, dass vertrauliche Informationen wie Firmengeheimnisse nach außen gelangen. Dazu überwacht das DLP-System auch verschlüsselte Verbindungen als Man-in-the-Middle. Das heißt, es bricht die Verbindung auf und gaukelt dem Browser oder Mail-Programm vor, es spräche mit dem eigentlich gemeinten Server. Damit dabei keine Zertifikatsfehler auftreten, muss sich das DLP-System mit einem gültigen Zertifikat ausweisen, das es sich mit dem Trustwave-Herausgeber-Zertifikat praktischerweise selber ausstellen kann. Nach dem gleichen Prinzip funktionieren auch Spionage-Angriffe und staatliche Überwachungsmaßnahmen.
Alle gängigen Browser enthalten das Trustwave Wurzelzertifikat. Vergrößern

Die übliche Vorgehensweise für legitime DLP ist, dass die Admins selbst eine Certificate Authority anlegen und diese – in Absprache mit den Mitarbeitern und Betriebsrat – auf den Arbeitsgeräten installiert wird. Dies stößt jedoch bei mitgebrachten Systemen der Mitarbeiter, die gar nicht der Firma gehören, an seine Grenzen.

Trustwave versichert, dass die Firma Verträge zur Nutzung unterzeichnet habe und sowohl der geheime CA-Schlüssel als auch die damit gefälschten Zertifikate in einem speziell geprüften Hardware Security Module (HSM) sicher aufbewahrt waren. Missbrauch sei somit ausgeschlossen gewesen. Dennoch sei man zu der Erkenntnis gelangt, dass man dieses Konzept zukünftig nicht weiter verfolgen wolle. Man habe das Zertifikat widerrufen und werde keine neuen derartigen Zertifikate mehr ausstellen.

Sicherheitsexperten und Privacy-Verfechter warnen schon seit einiger Zeit davor, dass jede CA und auch jede von ihr ermächtigte Sub-CA beliebige Zertifikate für jeden Server ausstellen können. Insbesondere einige staatliche CAs werden in dieser Hinsicht mit Misstrauen beäugt, da es durchaus nahe liegt, dass sie staatliche Überwachungsmaßnahmen unterstützen. Dies ist nach unserem Kenntnisstand der erste bekannt gewordene Fall, in dem eine allgemein anerkannte Zertifizierungsstelle ganz offiziell für Überwachungszwecke Dritten das Ausstellen von beliebigen SSL-Server-Zertifikaten ermöglicht hat. Allerdings erklärt Trustwave, dies sei eine durchaus übliche Praxis, die auch andere Root-CAs beträfe. (ju)

176 Kommentare

Themen:

Anzeige
  1. Certificate Transparency: Google setzt Symantec die Pistole auf die Brust

    SSL-Zertifikate: Google setzt Symantec die Pistole auf die Brust

    Symantec hatte zu Testzwecken Zertifikate auf fremde Domains ausgestellt. Als Reaktion will Google nun Symantec (beziehungsweise Verisign) dazu zwingen, Googles Sicherheitstechnik Certificate Transparency zu unterstützen.

  2. StartSSL: Fehler öffnete Tür und Tor für Zertifikats-Missbrauch

    StartSSL: Fehler ermöglichte Zertifikats-Missbrauch

    Die Zertifizierungsstelle StartSSL vergibt kostenlose SSL-Zertifikate für Web-Sites. Der Check, ob man auch deren Inhaber ist, ließ sich jedoch ganz einfach austricksen, berichtet ein Sicherheitsforscher.

  3. SSL-Zertifizierungsstelle Lets Encrypt will Mitte September 2015 öffnen

    SSL-Zertifizierungsstelle: Lets Encrypt

    Lets Encrypt will kostenlose SSL-Zertifikate an Administratoren für beliebige Domains ausgeben. Davor will der Newcomer seine Systeme aber ausgiebig testen. Bleibt die CA dabei im Zeitplan, kann man ab 14. September Zertifizierungsanträge stellen.

  4. Barracuda Web Filter untergräbt Sicherheit von SSL-Verbindungen

    Barracuda Web Filter untergräbt Sicherheit von SSL-Verbindungen

    Durch eine Reihe von Schwachstellen weichte die Security-Appliance die Sicherheit verschlüsselter Verbindungen auf. Die Mängelliste reicht von unzureichenden Zertifikats-Überprüfungen bis hin zu mehrfach verwendeten CA-Zertifikaten.

  1. SSL-Fuzzing mit "Frankencerts"

    Durch das Zusammenstückeln von Tausenden von echten SSL-Zertifikaten zu über acht Millionen "Frankencerts" haben Forscher Lücken in gängigen SSL-Bibliotheken gefunden.

  2. Transitschutz: DNSSEC und DANE auf Linux-Servern konfigurieren

    Die etablierte TLS-Verschlüsselung mit signierten Zertifikaten ist nicht wirklich sicher. Das modernere DANE prüft mittels DNSSEC ohne externen Stempel, ob das vom Server präsentierte Zertifikat echt und damit die verschlüsselte Verbindung beim Mail- und Webseiten-Transport vertrauenswürdig ist. Das lässt sich an einem Vormittag einrichten.

  3. Geleitschutz: DANE verbessert sicheren Transport zwischen Mailservern

    Verschlüsselter Nachrichtentransport ist schon mal besser, als Mails wie eine Postkarte für alle lesbar zu übertragen. Doch auch mit dem jüngst bei Freenet, GMX, T-Online und Web.de aktivierten TLS zwischen Absender, Mailservern und Empfänger bleiben Lücken. DANE kann diese schließen.

  1. re:publica: Anleitung zum (Netz-) Zweckoptimismus

    Sascha Lobo auf der re:publica

    Wie kann man trotz Rechtspopulismus, Terror und Überwachungswahn optmistisch bleiben? Der Interneterklärer Sascha Lobo lieferte in Berlin ein Universalrezept: Trotzdem.

  2. Hintergrund: Woher kommt die 30-Minuten-Video-Aufnahmegrenze bei Digitalkameras?

    Hintergrund: Darum gilt die 30-Minuten-Video-Aufnahmegrenze bei Digitalkameras

    Die Begrenzung der Videoaufnahmefunktion bei Digitalkameras auf weniger als 30 Minuten hat Ihre Ursache in den 2007 von der EU-Kommission veröffentlichten Kriterien zur Abgrenzung zwischen Digitalkameras und Videokameraaufnahmegeräten.

Anzeige