Cyberangriff aus Iran Hacker attackieren Fundamente des Internets
Spione aus dem Netz: Versucht Irans Geheimdienst, E-Mails mitzulesen?
Foto: CorbisMelih Abdulhayoglu fuhr schwerste verbale Geschütze auf, um zu erklären, was seinem Softwarehaus passiert ist. Ein Cyber-Angriff, der sich schon vergangene Woche ereignet hat, aber nun erst bekannt wurde, sei so etwas wie der 11. September seiner Branche: "Unsere eigenen Flugzeuge wurden gegen uns eingesetzt", sagte Abdulhayoglu "Wired". Er ist der Chef des IT-Sicherheitsunternehmens Comodo, einem der wenigen Dienstleister, die eine der zentralen Säulen der Sicherheitsstruktur des Netzes verwalten: Zertifikate, mit denen Websites sich als echt ausweisen. Comodo ist ein kapitaler Fehler passiert, der unter Umständen Dissidenten in Iran gefährden könnte, aber auch die Sicherheit des Internets im Ganzen in Frage stellt.
Was geschehen ist, lässt sich am einfachsten so erklären: Einer oder mehrere unbekannte Hacker, die augenscheinlich von Iran aus operieren, haben sich gefälschte Internet-Ausweise, sogenannte Sicherheitszertifikate, verschafft. Die dienen eigentlich dazu, Websites gegenüber jedem Surfer als echt einzustufen.
Mit diesen Zertifikaten wäre es möglich gewesen, sich jedem Web-Browser gegenüber als eine bestimmte Website auszugeben. Im konkreten Fall beispielsweise als der E-Mail-Dienst von Google (mail.google.com), Yahoo (login.yahoo.com) oder Microsoft (login.live.com), als der Voice-over-IP-Dienst Skype (login.skype.com) oder als die Erweiterungsplattform für Mozillas Web-Browser Firefox (addons.mozilla.org).
Die Kommunikationsplattformen hätte man mit weiteren Tricks, die wohl nur staatliche Organisationen hätten anwenden können, abhören können. Über Mozillas Erweiterungsdienst hätten die Angreifer im schlimmsten Fall Schad-Software auf die Rechner von Firefox-Nutzern einschleusen können. Inzwischen sind die gefälschten Zertifikate zurückgerufen, wer seinen Browser auf aktuellem Stand hält, hat nichts mehr zu befürchten. Das prinzipielle Problem der Netz-Sicherheit aber ist damit nicht beseitigt.
Die der IP-Adresse zufolge von Iran aus gestohlenen Netz-Ausweise hätten gewissermaßen einen perfekten Phishing-Angriff ermöglicht: Ahnungslose Nutzer hätten auf täuschend echt aussehenden Websites ihre Login-Daten und Passwörter eingegeben, in dem Glauben, eine sichere Internetverbindung (zu erkennen am Kürzel https in der Adressleiste des Browsers) zu nutzen. In Wahrheit aber wäre jegliche Kommunikation über einen anderen Server gelaufen. Der Angreifer hätte den gesamten Austausch - bei den betroffenen Seiten handelt es sich in erster Linie um Kommunikationsplattformen - mitverfolgen oder auch manipulieren können.
Totale, unbemerkte Überwachung
Um das zu erreichen, hätte es allerdings noch eines zweiten Tricks bedurft - und das spricht stark dafür, dass es sich bei dem Angriff tatsächlich um die Aktion einer staatlichen Organisation handelt.
Um diesen Teil zu verstehen, ist ein bisschen Internet-Grundwissen nötig:
- Wenn ein Browser eine bestimmte Website öffnen soll, braucht er dazu eine zusätzliche Information: Die Übersetzung des Domainnamens (etwa www.spiegel.de) in eine IP-Adresse (im Fall von Spiegel.de: 195.71.11.67).
- Diese Übersetzung erledigt das sogenannte Domain Name System (DNS). Der Browser fragt bei einem von vielen rund um die Welt verteilten DNS-Servern nach, welche IP-Nummer zu dem Domainnamen gehört, die er gerade aufrufen soll.
- Wer die Kontrolle über den jeweiligen DNS-Server hat, könnte den Browser im Prinzip in die Irre führen - und ihn zu einer eigentlich falschen IP-Nummer seiner Wahl weiterleiten.
Mächtig und gefährlich würde beides in Kombination: Ein so in die Irre geführter Browser, dem dann auch noch ein gefälschter Web-Ausweis gezeigt wird, hielte eine gefälschte Web-Seite zwangsläufig für echt. Für den Nutzer wäre es praktisch unmöglich, zu erkennen, dass er gerade ausgetrickst wird. Zugriff auf DNS-Server hat nicht jeder - aber beispielsweise die iranischen Behörden. Sie könnten also alle Nutzer von Diensten wie Googlemail, Yahoo-Mail oder Skype auf eigene Websites umleiten und dort eine Kopie des echten Angebots bereitstellen.
Wer sich in seinen Mailaccount einloggte, würde nichts Ungewöhnliches bemerken, dabei liefe die ganze Kommunikation heimlich über den Server des jeweiligen Angreifers. Totale, unbemerkte Überwachung wäre die Folge. Allerdings wohl nur in der jeweiligen Region - deutsche Nutzer etwa beziehen ihre DNS-Informationen nicht von iranischen DNS-Servern.
Tatsächlich benutzt wurde Abdulhayoglu zufolge bislang nur eines der gefälschten Zertifikate - das für Yahoo. Comodo selbst habe festgestellt, dass die Angreifer es offenbar ausprobiert hätten, wiederum über eine iranische IP-Adresse.
Attacke über den Mittelsmann
Diese Art von Angriff ist in verschiedenen Varianten seit vielen Jahren bekannt, sie wird gemeinhin als "man in the middle attack", also "Mittelsmann-Angriff" bezeichnet. Der Mittelsmann schaltet sich unbemerkt zwischen Sender und Empfänger einer eigentlich verschlüsselten Kommunikation und liest alles mit, was dort ausgetauscht wird.
Comodo-Chef Abdulhayoglu sagte "Wired": "Meiner Meinung nach versucht jemand, E-Mail-Kommunikation mitzulesen." Ein derartiger Angriff könne aber in großem Stil nur dann funktionieren "wenn jemand Zugriff auf die DNS-Infrastruktur hat". Die Zertifikate seien "für sich genommen nutzlos". Was nicht bedeutet, das Comodo nicht ein gewaltiges Problem hat. Und damit das gesamte vertrauensbasierte System der Sicherheitszertifikate.
Gestohlen wurden die Zertifikate bei Comodo selbst. Das Unternehmen ist eine von Dutzenden sogenannten Certificate Authorities, die solche Internet-Ausweise für vermeintlich sichere Internetverbindungen vergeben. Die Angreifer loggten sich mit anderswo gestohlenen Login-Daten im Comodo-System ein und erwarben dort, augenscheinlich völlig legal, die Zertifikate für die Google-, Yahoo-, Microsoft-, Skype- und Mozilla-Seiten.
Genau das, sagt Thorsten Holz, Fachmann für IT-Sicherheit von der Universität Bochum, hätte niemals passieren dürfen. Warum fragte bei Comodo niemand nach, ob Zertifikate für die Google-, Yahoo-, Microsoft-Sites nicht anderswo schon vergeben worden waren? Holz: "Für Comodo ist das eine Katastrophe, das Vertrauen ist ja ihr Geschäftsmodell." Wer ein Zertifikat ausstellt, versichert damit schließlich selbst, dass die jeweilige Website wirklich die ist, als die sie sich ausgibt.
Ehrliche Makler mit großen Problemen
Die Zertifizierer sind gewissermaßen die ehrlichen Makler des Internets. Web-Browser vertrauen Comodo bislang blind: Jedem Surfprogramm ist ein sogenanntes Root-Zertifikat eingeimpft, das dem Browser mitteilt, dass Comodo-Zertifikate glaubwürdig sind. Und Comodo, erklärt Holz, kann für jede beliebige Website auf der Welt Zertifikate ausstellen. Das gleiche gilt für andere Zertifizierungsstellen wie etwa das US-Unternehmen VeriSign. Das Ganze ist nicht zuletzt ein Geschäftsmodell, die Profi-Zertifizierer kassieren saftige Gebühren.
Inzwischen sind alle gefälschten Zertifikate zurückgerufen worden. Mozilla, Google und Microsoft haben ihre Browser mit Updates dazu gebracht, sie nicht mehr anzuerkennen. Das aber hat einige Tage gedauert - viel zu lange, findet Jacob Appelbaum, ein Fachmann für IT-Sicherheit, Hochschullehrer und Hacker, der die Vorgänge mit eigener Detektivarbeit selbst aufgedeckt hatte . Appelbaum ist in der Szene beileibe kein Unbekannter - er arbeitet am Anonymisierungs-Netzwerk TOR mit und tritt gelegentlich auch als Sympathisant und Helfer von WikiLeaks in Erscheinung. Nun erhebt er schwere Vorwürfe gegen Comodo und stellt gleichzeitig das gesamte auf gegenseitigem Vertrauen basierende Zertifizierungssystem des Internets in Frage.
"Wir brauchen mehr Sicherheitsüberprüfungen"
Comodo habe die Zertifikate zwar schließlich zurückgerufen, das sei jedoch zu spät passiert, außerdem sei keine offizielle Warnung herausgegeben worden. Am schwersten aber scheint zu wiegen, dass der Rückruf offenbar zunächst kaum Auswirkungen hatte. Eigentlich gibt es schwarze Listen mit solchen zurückgenommen Zertifikaten, die automatisch an die Browser weitergereicht werden sollten - doch das funktioniert offenbar nicht richtig . Sonst hätten nicht alle Browser-Hersteller eigene Updates für ihre Surf-Software herausgeben müssen. IT-Forscher Holz hält das für höchst bedenklich: "Wir brauchen mehr Sicherheitsüberprüfungen."
Jacob Appelbaum schrieb: "Wenn die eigentlichen Schutzmechanismen nicht durchgesetzt werden, gibt es kaum Hoffnung, dass die Nutzer tatsächlich geschützt werden."
Ähnliche Angriffe hat es in der Geschichte des Internets immer wieder gegeben. Schon 2001 erwarb jemand beispielsweise von VeriSign zwei Zertifikate, mit denen er sich als Microsoft hätte ausgeben können. Damals wurden anschließend zusätzliche Schutzmechanismen eingeführt - aber es scheint immer noch gewaltige Lücken zu geben. Auch nach diesem Fall wurden immer wieder Schwächen im SSL - und DNS-System aufgedeckt.
Eine davon hat damit zu tun, dass zum vermeintlichen Vertrauensnetz auch wenig vertrauenswürdige Parteien gehören. Die Bürgerrechtsorganisation Electronic Frontier Foundation kritisiert in einem Blogeintrag zum aktuellen Fall: "Länder wie die Vereinigten Arabischen Emirate und Tunesien kontrollieren Zertifizierungsstellen und haben in der Vergangenheit gleichzeitig die Computersicherheit ihrer eigenen Bürger kompromittiert. Aber diese Staaten kontrollieren auch Toplevel-DNS-Domains (Anm. d. Red.: wie .ae oder .tn)" und könnten damit selbst sogenannte sichere DNS-Einträge (DNSSEC) kontrollieren, so die EFF. Dieses DNSSEC-System soll derartige Angriffe eigentlich unmöglich machen.
IT-Sicherheitsexperte Holz hält das gesamte Zertifikatesystem für renovierungsbedürftig: "In der digitalen Welt ist es derzeit schwierig, sich sicher und unfälschbar zu authentifizieren."
