Die Sicherheitsexperten von Fox-IT haben einen rund hundertseitigen Bericht (PDF-Datei) veröffentlicht, der sich fast wie ein Krimi liest: Es handelt sich um das Untersuchungsergebnis zum Einbruch bei der niederländischen Zertifizierungsstelle DigiNotar. Im vergangenen Jahr gelang es einem raffinierten Hacker, über das Internet in die Infrastruktur von DigiNotar einzubrechen und sich massenhaft SSL-Zertifikate für namhafte Domains wie google.com, microsoft.com und skype.com auszustellen.
Dass es dem Hacker dabei nicht allein um den Spaß an der Sache ging, wurde klar, als ein von ihm erstelltes Google-Zertifikat großflächig zum Ausspionieren iranischer Internetnutzer missbraucht wurde. In dem Bericht erfährt man unter anderem, dass der Angreifer seine Einbruchswerkzeuge im öffentlich zugänglichen Verzeichnis http://www.diginotar.nl/beurs auf dem DigiNotar-Webserver abgelegt und darauf von verschiedenen Systemen im Netz der Zertifizierungsstelle zugegriffen hat.
Es gelang dem Täter, alle acht CA-Server unter seine Kontrolle zu bringen, obwohl diese nicht über das Internet zugänglich sind. Dazu hangelte er sich nach und nach durch verschiedene Netzwerksegmente. Unter anderem aufgrund eines auf dem Server hinterlassenen Bekennerschreibens geht Fox-IT davon aus, dass es sich um den gleichen Hacker handelt, der zuvor bei einem Comodo-Reseller eingestiegen ist.
Der Angreifer hat zwar Proxies benutzt, um seine Identität zu verschleiern. Laut dem Bericht hat er sich vermutlich jedoch auch ein Mal versehentlich ohne Proxy mit dem DigiNotar-Netz verbunden. Es soll vieles darauf hindeuten, dass er aus dem Iran stammt. Fox-IT hat die IP-Adressen, die vermutlich direkt zu dem Angreifer führen, aus dem Bericht entfernt, um laufende Ermittlungen nicht zu gefährden – der Eindringling ist nämlich nach wie vor auf freiem Fuß. Für DigiNotar hatte der Vorfall indes bereits Konsequenzen: Das Unternehmen wurde kurz nach dem GAU liquidiert.
Siehe dazu auch:
(rei)
0 Kommentare:
Kommentar veröffentlichen