Comodo-Hacker übernimmt Verantwortung für Angriff auf DigiNotar

Jener Hacker, der im März einem Partner des Sicherheitsanbieters Comodo neun digitale Zertifikate für HTTPS-Websites gestohlen hatte, hat sich jetzt auch zu dem Angriff auf das niederländische Unternehmen DigiNotar bekannt. Auf Pastebin.com droht er damit, weitere gefälschte Zertifikate zu veröffentlichen, die aus Einbrüchen bei anderen Herausgebern von Zertifikaten stammen sollen.

Nach eigenen Angaben hat der Hacker Zugang zu vier weiteren sogenannten Certificate Authorities (CA). „Wenn ich will, kann ich Zertifikate von ihnen ausstellen.“ Namentlich nannte er die CAs StartCom und GlobalSign. Zu seinen anderen Opfern sowie den technischen Details seiner Angriffe werde er sich zu einem späteren Zeitpunkt äußern.

DigiNotar habe er wegen der Verwicklung der niederländischen Regierung in das Massaker von Srebrenica ausgesucht, erklärte der Hacker. Im Juli 1995 sollen bosnische Serben bis zu 8000 Männer und Jungen verschleppt und ermordet haben. Niederländische Blauhelm-Soldaten waren damals für die UN-Schutzzone in Srebrenica zuständig. Im April hatte der 21-jährige Iraner behauptet, er habe den Angriff auf Comodo als Protest gegen die Nahostpolitik der US-Regierung und als Rache für den Stuxnet-Wurm ausgeführt, der das iranische Kernforschungsprogramm beeinträchtigt haben soll.

DigiNotar räumte in der vergangenen Woche einein, dass nach dem Angriff mehr als 500 gefälschte SSL-Zertifikate für namhafte Firmen wie Facebook, Google, Microsoft und Skype sowie die Geheimdienste CIA, MI6 und Mossad ausgestellt worden waren. Neben Browserherstellern wie Google, Microsoft und Mozilla hat auch die niederländische Regierung inzwischen allen von DigiNotar ausgestellten Zertifikaten das Vertrauen entzogen. Nach Angaben von Kaspersky Lab haben die Niederlande auch die Kontrolle über DigiNotar übernommen.

Eine Untersuchung habe gezeigt, dass der Angriff schon am 17. Juni begonnen hatte und mehr als einen Monat andauerte. Der Hacker sei in dieser Zeit in mehrere Server eingebrochen und habe dabei verschiedene Angriffswerkzeuge und Skripte verwendet. Insgesamt seien über 531 falsche SSL-Zertifikate erstellt worden. Das ebenfalls von der niederländischen Regierung mit Ermittlungen beauftragte Sicherheitsunternehmen Fox-IT hat zudem herausgefunden, dass zwischen 27. Juli und 29. August rund 300.000 IP-Adressen auf Websites zugegriffen haben, die ein gefälschtes Zertifikat von Google.com nutzten, berichtet Computerworld. Fast alle Adressen stammten aus dem Iran, was Googles Aussagen über den Angriff entspricht. Zudem setzten Webserver im Iran ihre Angriffsversuche auf DigiNotar fort.

SSL-Zertifikate werden für die Authentifizierung sicherer Websites verwendet und sollen gewährleisten, dass ein Nutzer mit der von ihm gewünschten Seite verbunden ist. Gefälschte Zertifikate lassen sich dazu missbrauchen, Anwender auf manipulierte Seiten umzuleiten. Gleichzeitig wird damit das Vertrauen in die Herausgeber zerstört.