Logo von Security

Suche
176

Trustwave verkaufte Man-in-the-Middle-Zertifikat

Der Zertifikatsherausgeber Trustwave hat einer Firma ein Zertifkat verkauft, mit dem sich diese gültige Zertifikate für beliebige Server ausstellen konnte. Damit war es ihr dann möglich auch den verschlüsselten Datenverkehr ihrer Mitarbeiter etwa mit Diensten wie denen von Google oder Hotmail zu überwachen. Mittlerweile habe man das CA-Zertifikat jedoch widerrufen und werde das zukünftig auch nicht mehr tun, gelobt der Zertifikatsherausgeber.

Anzeige

Das Herausgeber-Zertifikat kam in einem Data Loss Prevention System (DLP) zum Einsatz, das verhindern soll, dass vertrauliche Informationen wie Firmengeheimnisse nach außen gelangen. Dazu überwacht das DLP-System auch verschlüsselte Verbindungen als Man-in-the-Middle. Das heißt, es bricht die Verbindung auf und gaukelt dem Browser oder Mail-Programm vor, es spräche mit dem eigentlich gemeinten Server. Damit dabei keine Zertifikatsfehler auftreten, muss sich das DLP-System mit einem gültigen Zertifikat ausweisen, das es sich mit dem Trustwave-Herausgeber-Zertifikat praktischerweise selber ausstellen kann. Nach dem gleichen Prinzip funktionieren auch Spionage-Angriffe und staatliche Überwachungsmaßnahmen.
Alle gängigen Browser enthalten das Trustwave Wurzelzertifikat. Vergrößern

Die übliche Vorgehensweise für legitime DLP ist, dass die Admins selbst eine Certificate Authority anlegen und diese – in Absprache mit den Mitarbeitern und Betriebsrat – auf den Arbeitsgeräten installiert wird. Dies stößt jedoch bei mitgebrachten Systemen der Mitarbeiter, die gar nicht der Firma gehören, an seine Grenzen.

Trustwave versichert, dass die Firma Verträge zur Nutzung unterzeichnet habe und sowohl der geheime CA-Schlüssel als auch die damit gefälschten Zertifikate in einem speziell geprüften Hardware Security Module (HSM) sicher aufbewahrt waren. Missbrauch sei somit ausgeschlossen gewesen. Dennoch sei man zu der Erkenntnis gelangt, dass man dieses Konzept zukünftig nicht weiter verfolgen wolle. Man habe das Zertifikat widerrufen und werde keine neuen derartigen Zertifikate mehr ausstellen.

Sicherheitsexperten und Privacy-Verfechter warnen schon seit einiger Zeit davor, dass jede CA und auch jede von ihr ermächtigte Sub-CA beliebige Zertifikate für jeden Server ausstellen können. Insbesondere einige staatliche CAs werden in dieser Hinsicht mit Misstrauen beäugt, da es durchaus nahe liegt, dass sie staatliche Überwachungsmaßnahmen unterstützen. Dies ist nach unserem Kenntnisstand der erste bekannt gewordene Fall, in dem eine allgemein anerkannte Zertifizierungsstelle ganz offiziell für Überwachungszwecke Dritten das Ausstellen von beliebigen SSL-Server-Zertifikaten ermöglicht hat. Allerdings erklärt Trustwave, dies sei eine durchaus übliche Praxis, die auch andere Root-CAs beträfe. (ju)

176 Kommentare

Themen:

  1. Indien stellte falsche Google-Zertifikate aus

    Das indische National Informatics Centre (NIC) stellt bis auf weiteres keine Zertifikate mehr aus.

    Erneut kam es zu einem schwerwiegenden Zwischenfall bei einem Herausgeber von SSL-Zertifikaten: Die staatlich betriebene CA von Indien hat unter anderem Zertifikate für Google-Dienste herausgegeben. Diese eignen sich zum Ausspähen von SSL-Traffic.

  2. Firefox soll falsche SSL-Zertifikate enttarnen

    Auch Mozillas Browser wird künftig etwa beim Besuch von Google.com überprüfen, ob das ausgelieferte SSL-Zertifikat von einem Herausgeber stammt, den der Dienst üblicherweise benutzt.

  3. Mozilla zukünftig mit zentralen Sperrlisten

    Sichere Internet-Verbindungen erfordern Mechanismen, kompromittierte Zertifikate als ungültig zu erklären. Die aktuellen Verfahren dazu funktionieren jedoch nicht. Zukünftig soll das bei Firefox und Co die OneCRL richten.

  1. Microsofts Hintertür

    Was macht Windows, wenn es auf ein Verschlüsselungszertifikat trifft, dessen Echtheit es nicht überprüfen kann? Es schlägt nicht etwa Alarm, sondern fragt bei Microsoft nach, ob man dort zufällig jemanden kennt, der das Zertifikat für echt erklären möchte.

  2. SSL-Fuzzing mit "Frankencerts"

    Durch das Zusammenstückeln von Tausenden von echten SSL-Zertifikaten zu über acht Millionen "Frankencerts" haben Forscher Lücken in gängigen SSL-Bibliotheken gefunden.

  3. iOS 6 stopft Konfigurationsloch

    Das jüngste iOS-Update stopft eine seit Jahren bekannte Schwachstelle, die es in sich hat.

  1. Video: Apple Watch ausgepackt und eingerichtet

    Video: Apple Watch ausgepackt und eingerichtet

    Am Freitagmorgen hat die Mac & i-Redaktion ihre ganz normal bestellte Apple Watch erhalten, ausgepackt und installiert.

  2. "Shiny Flakes": Verdächtigter schweigt weiter

    "Shiny Flakes": Verdächtigter schweigt weiter

    Im Fall des in Leipzig aufgeflogenen Online-Handels mit Drogen sitzt der 20-jährige Verdächtige weiter in Untersuchungshaft und macht ebenso wie der ebenfalls inhaftierte 51-jährige Kurierfahrer von seinem Recht auf Aussageverweigerung Gebrauch.

  3. c't uplink 6.3: Gekaufte Blogger, Langzeit-Linuxe, Hardware-Tricks und -Mythen

    c't uplink 6.3: Gekaufte Blogger, Langzeit-Linuxe, Hardware-Tricks und -Mythen

    In der jüngsten Folge unseres Podcasts, erklärt Nico Jurran, wie Konzerne scheinbar unabhängige Blogger als Werbepartner rekrutieren. Dann erklären wir, welche Linux-Distributionen man jahrelang nutzen kann und welche Hardware-Tricks am PC funktionieren.

  4. Ende mit Knall: NASA-Sonde Messenger soll auf Merkur fallen

    Ende mit Knall: Nach getaner Arbeit soll NASA-Sonde auf Merkur fallen

    Mehr als zehn Jahre lang hat die NASA-Sonde Messenger den Merkur erkundet und Forscher mit Fotos und Daten begeistert. Zweimal wurde die Mission verlängert. Jetzt soll die altersmüde Messenger ihr Ende finden – mit einem Sturz auf den Planeten.

Anzeige