Gestohlene SSL-Zertifikate: Comodo meldet weitere Angriffe

Der Hackerangriff auf sogenannte Registration Authorities (RA), die digitale Zertifikate für namhafte Websites ausstellen, war umfangreicher als bisher angenommen. Wie der Sicherheitsanbieter Comodo mitteilt, hat er sich nicht nur gegen die italienische Firma GlobalTrust gerichtet, sondern auch gegen zwei weitere Partner des Unternehmens.

„Zwei weitere RA-Konten wurden kompromittiert“, schreibt Robin Alden, Chief Technology Officer von Comodo, in einer Mozilla-Newsgroup. Den beiden betroffenen Firmen seien ihre RA-Privilegien entzogen worden. Der Angriff habe aber nicht zum Missbrauch weiterer Zertifikate geführt.

In der vergangenen Woche hatte Comodo den Verlust von neun digitalen Zertifikaten für Websites von Google, Microsoft, Mozilla, Skype und Yahoo eingeräumt. Sie können missbraucht werden, um manipulierte Webseiten als per HTTPS verschlüsselte Seiten vertrauenswürdiger Anbieter auszugeben. Kurz darauf wurden die Zertifikate zurückgezogen.

Unklar ist, wann und wie die beiden Registration Authorities angegriffen wurden. Auch die Namen der Partner sind bisher nicht bekannt. Nach Angaben einer Sprecherin wird Comodo im Lauf des Tages weitere Details nennen.

Als Gegenmaßnahme will Comodo die Authentifizierung für alle Partner verbessern. Dazu gehörten Einschränkungen für IP-Adressen und eine hardwarebasierte Zwei-Schritt-Anmeldung, so Alden weiter. „Die Einführung der Zwei-Schritt-Token hat schon begonnen und wird in einigen Wochen abgeschlossen sein.“ Bis dahin werde Comodo vor der Ausstellung von Zertifikaten alle Angaben der RAs überprüfen.

Als Urheber der Angriffe vermutet Comodo die iranische Regierung, weil bei den Angriffen verwendete IP-Adressen in den Iran zurückverfolgt werden konnten. Zuletzt hatte ein Unbekannter, der sich selbst „ComodoHacker“ und „ichsunx“ nennt, die Verantwortung für den Einbruch übernommen und dies mit einem gestohlenen digitalen Schlüssel belegt.

Einem Eintrag auf Pastebin zufolge hat der Comodo-Hacker „zahlreiche Wiederverkäufer“ gehackt. Drei davon gehörten zu Comodo. „Ich habe sogar einen Keylogger auf ihrem Server installiert und konnte Administratoren überwachen, die sich angemeldet haben“, schreibt er.

Inzwischen hat das FBI eine Untersuchung eingeleitet. An den Ermittlungen sind laut Comodo-CEO Melih Abdulhayoglu auch Strafverfolgungsbehörden in Italien beteiligt.

Der Verlust hat ein Problem beim Umgang mit Sicherheitszertifikaten offenbart. Derzeit gibt es kein automatisches Verfahren, um betrügerische Zertifikate zu entwerten. Es fehlen auch eine öffentlich zugängliche Liste über von Firmen wie Comodo ausgestellte Zertifikate und Angaben darüber, welche Wiederverkäufer oder Partner über Duplikate der Master-Schlüssel verfügen. Es kann zudem nicht verhindert werden, dass kompromittierte Firmen wie GlobalTrust Zertifikate für Yahoo Mail oder Google Mail ausstellen, die anschließend missbraucht werden.