Gestohlene SSL-Zertifikate: Comodo meldet weitere Angriffe

Der Hackerangriff auf sogenannte Registration Authorities (RA), die digitale Zertifikate für namhafte Websites ausstellen, war umfangreicher als bisher angenommen. Wie der Sicherheitsanbieter Comodo mitteilt, hat er sich nicht nur gegen die italienische Firma GlobalTrust gerichtet, sondern auch gegen zwei weitere Partner des Unternehmens.

„Zwei weitere RA-Konten wurden kompromittiert“, schreibt Robin Alden, Chief Technology Officer von Comodo, in einer Mozilla-Newsgroup. Den beiden betroffenen Firmen seien ihre RA-Privilegien entzogen worden. Der Angriff habe aber nicht zum Missbrauch weiterer Zertifikate geführt.

In der vergangenen Woche hatte Comodo den Verlust von neun digitalen Zertifikaten für Websites von Google, Microsoft, Mozilla, Skype und Yahoo eingeräumt. Sie können missbraucht werden, um manipulierte Webseiten als per HTTPS verschlüsselte Seiten vertrauenswürdiger Anbieter auszugeben. Kurz darauf wurden die Zertifikate zurückgezogen.

Unklar ist, wann und wie die beiden Registration Authorities angegriffen wurden. Auch die Namen der Partner sind bisher nicht bekannt. Nach Angaben einer Sprecherin wird Comodo im Lauf des Tages weitere Details nennen.

Als Gegenmaßnahme will Comodo die Authentifizierung für alle Partner verbessern. Dazu gehörten Einschränkungen für IP-Adressen und eine hardwarebasierte Zwei-Schritt-Anmeldung, so Alden weiter. „Die Einführung der Zwei-Schritt-Token hat schon begonnen und wird in einigen Wochen abgeschlossen sein.“ Bis dahin werde Comodo vor der Ausstellung von Zertifikaten alle Angaben der RAs überprüfen.

Als Urheber der Angriffe vermutet Comodo die iranische Regierung, weil bei den Angriffen verwendete IP-Adressen in den Iran zurückverfolgt werden konnten. Zuletzt hatte ein Unbekannter, der sich selbst „ComodoHacker“ und „ichsunx“ nennt, die Verantwortung für den Einbruch übernommen und dies mit einem gestohlenen digitalen Schlüssel belegt.

Einem Eintrag auf Pastebin zufolge hat der Comodo-Hacker „zahlreiche Wiederverkäufer“ gehackt. Drei davon gehörten zu Comodo. „Ich habe sogar einen Keylogger auf ihrem Server installiert und konnte Administratoren überwachen, die sich angemeldet haben“, schreibt er.

Inzwischen hat das FBI eine Untersuchung eingeleitet. An den Ermittlungen sind laut Comodo-CEO Melih Abdulhayoglu auch Strafverfolgungsbehörden in Italien beteiligt.

Der Verlust hat ein Problem beim Umgang mit Sicherheitszertifikaten offenbart. Derzeit gibt es kein automatisches Verfahren, um betrügerische Zertifikate zu entwerten. Es fehlen auch eine öffentlich zugängliche Liste über von Firmen wie Comodo ausgestellte Zertifikate und Angaben darüber, welche Wiederverkäufer oder Partner über Duplikate der Master-Schlüssel verfügen. Es kann zudem nicht verhindert werden, dass kompromittierte Firmen wie GlobalTrust Zertifikate für Yahoo Mail oder Google Mail ausstellen, die anschließend missbraucht werden.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

9 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

10 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

17 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago