Gefälschte Originale
Von Uli Ries
Ein loser Zusammenschluss amerikanischer und europäischer Hacker hat erfolgreich demonstriert, dass sie sich selbst als Certificate Authority (CA) ausgeben und somit beliebige SSL-Zertifikate erstellen können. Sämtliche Webbrowser wie Mozilla Firefox oder Microsoft Internet Explorer akzeptieren diese von der angeblich legitimen CA ausgestellten Zertifikate klaglos, die sonst üblichen, prominent im Browser angezeigten Hinweise auf einen Fehler im Zertifikat bleiben aus.
Für gültig befunden
Stünde auch Phishern und anderen Cybergaunern dieser Weg offen, könnten sie erstmals fehlerfreie Kopien von legitimen, mit dem korrekten SSL-Zertifikat gesicherten Webseiten erstellen. Außerdem ließen sich zum ersten Mal perfekte Man-in-the-Middle-Attacken in verdrahteten oder drahtlosen Netzwerken starten. Bislang zeigte der Browser des Lauschopfers auch hier Fehlermeldungen an, da der zwischen Opfer und SSL-gesicherter Website eingeklinkte Lauscher sich dem Opfer gegenüber nicht einwandfrei als passende HTTPS-Gegenstelle ausgeben konnte. Die Experten des SANS Internet Storm stufen die Lage in einem Blog-Eintrag zwar insgesamt als ernst ein, sehen das Internet und seine E-Commerce-Dienste jedoch nicht vor dem Zusammenbruch.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Die Funktionalität ihres CA-Zertifikats untermauern die Hacker mit einer SSL-gesicherten Website: https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/. Die Gültigkeit des SSL-Zertifikats ist bewusst auf August 2004 beschränkt, um jeglichen Missbrauch zu verhindern. Das auf „MD5 Collisions Inc.“ ausgestellte Zertifikat der Site bekommt also nur zu sehen, wer die Uhr seines PCs zurückstellt. (Aber Achtung: Wer sich die Site samt Zertifikat anschauen möchte, sollte dies am besten mit einem Test-PC tun. Die Änderung der Systemzeit kann z.B. Microsofts BitLocker und diverse Antivirenprogramme aus dem Tritt bringen.)
MD5-Hash auf Kollisionskurs
Der theoretische Hintergrund des Ende 2008 öffentlich demonstrierten Hacks ist eine schon seit Jahren bekannte Schwäche im MD5-Algorithmus. Der Angriff zielt also eher auf den zur Signatur der Zertifikate genutzten Algorithmus als gegen SSL selbst. Nach Angaben der Hacker wurden bisher knapp 30 % aller im Web verwendeten SSL-Zertifikate mit MD5 signiert. Sechs große CAs setzten auf MD5-Hashes, darunter RSA Data Security, RapidSSL, Thawte und verisign.co.jp.
Die Hacker nutzten – aus verschiedenen Gründen – für ihren Angriff das zu VeriSign gehörende RapidSSL. Sie ließen sich zuerst ein herkömmliches, MD5-signiertes Zertifikat für ihre Website von diesem Provider ausstellen. Den MD5-Hash dieser speziell von Hand gestalteten Zertifikatsanfrage ließen die Hacker bewusst mit einem zweiten Zertifikat kollidieren. Dieses zweite Zertifikat war jedoch kein herkömmliches Webseitenzertifikat, sondern das einer Zertifizierungsstelle. Die Folge: Browser erkennen die Fälschung nicht, da der Hashwert ja an sich korrekt ist und vertrauen der Hacker-Zertifizierungsstelle.
Um die kollidierenden Hashwerte zu bestimmen, war immense Rechenleistung nötig: Ein Cluster aus 200 Playstation-3-Konsolen erledigte für die Hacker die Berechnung der Werte innerhalb von zwei Tagen. Ohne vorherige Optimierung des bereits bekannten MD5-Kollisionsangriffes durch die Hacker hätten die Kalkulationen aber trotz des immensen Hardware-Einsatzes erheblich länger gedauert. Der vergleichsweise riesige Aufwand und die notwendige – von den Hackern geheim gehaltene – Weiterentwicklung des Angriffscodes sind wohl dafür verantwortlich, dass bislang keine erfolgreichen Attacken von Cyberkriminellen im Netz auftauchten. Zumindest berichtet bisher keiner der gut informierten Beteiligten – Microsoft, Mozilla, VeriSign – von gleichartigen Angriffen.
Fazit: Wer ist noch echt?
Weder das Design von SSL, noch die Browser sind für das Sicherheitsproblem verantwortlich. Einzig bei MD5 ist die Schuld zu suchen. Das US-Cert rät Software-Entwicklern daher, auf den Algorithmus zu verzichten. Natürlich sind auch die Browser-Lieferanten Mozilla und Microsoft zu Recht der Meinung, dass ihre Produkte nichts zum Schlamassel beigetragen haben.
VeriSign hat in der Folge bekannt gegeben, dass MD5 ab sofort nicht mehr zur Signatur von SSL-Zertifikaten eingesetzt wird. Stattdessen setze man auf das sicherere SHA-1. Auf Kundenwunsch tauscht VeriSign bereits ausgestellte, mit MD5 signierte Zertifikate um.
Wobei das an sich überflüssig ist, da vom Angriff ja keine bereits ausgestellten Zertifikate und die damit gesicherten Websites betroffen sind. Stattdessen macht es die Attacke normalen Webnutzern erheblich schwerer, ein echtes von einem gefälschten Zertifikat zu unterscheiden. Microsoft gibt Anwendern und Administratoren daher Tipps, wie sie die Details eines SSL-Zertifikates auf Echtheit prüfen können.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing
