Hinweis:
Dieser Artikel ist sehr alt und gibt mit hoher Wahrscheinlichkeit nicht mehr meine heutige Meinung zu diesem Thema wieder. Aus Transparenzgründen (und weil das Internet sowieso nicht vergisst), lasse ich den Text dennoch online.
Dieser Artikel ist sehr alt und gibt mit hoher Wahrscheinlichkeit nicht mehr meine heutige Meinung zu diesem Thema wieder. Aus Transparenzgründen (und weil das Internet sowieso nicht vergisst), lasse ich den Text dennoch online.
Heute beschäftige ich mich einmal nicht direkt mit einem Thema, welches für Gaming relevant, aber dennoch im „IT-Securitybereich“ angesiedelt ist.
Es geht um den „Comodo-Hack“.
Comodo? SSL?
Bei Comodo handelt es sich um eine Firma, die neben Sicherheitssoftwareprodukten auch SSL-Zertifikate ausstellen darf. Ein SSL-Zertifikat kennt ihr z.B. wenn ihr auf eine Seite surft, deren Adresse nicht mit „http“, sondern mit „https“ beginnt. Normalerweise werden die Daten, die du mit dieser Website austauschst, unverschlüsselt gesendet, so dass sie theoretisch jeder mitlesen könnte. Via SSL geschieht dies verschlüsselt, was auf jeden Fall erst einmal ein guter Schritt ist. Zusätzlich sorgt dieses Protokoll aber auch noch für mehr Sicherheit, da man sich – solange nichts schief geht, wie beim Comodo-Hack – sicher sein kann, dass die Gegenseite auch wirklich die ist, für die sie sich ausgibt. Sprich man surft nicht aus versehen auf eine Seite, die nur aussieht, wie die Seite der eigenen Hausbank und durch sogenanntes Phishing versucht Zugangsdaten, PINs und TANs abzugreifen und damit Schabernack anzustellen.
Gleiches gilt natürlich auch für andere essentielle Dienste, die ein moderner Mensch so benötigt, wie z.B. E-Mails oder Skype, worauf es der Comodo-Hacker letztendlich abgesehen hat.
Wenn man nun Anbieter von irgendeinem Dienst, wie z.B. E-Mails oder Online Banking ist und diesen absichern möchte, gegen Phishing und Lauscher, dann installiert man sich auf seinem Server die nötigen Programme um das SSL-Protokoll nutzen zu können und vor allem kauft man sich ein SSL-Zertifikat. Dies tut man meist bei einem Reseller, was man sich so vorstellen kann, dass man sich sein Essen z.B. nicht beim Hersteller direkt kauft, sondern in einem Supermarkt. Diese Reseller stellen die Zertifikate also nicht selber aus, sondern holen sie sich nur bei einigen großen Anbietern, welche dazu berechtigt sind.
Was wollte nun der Comodo-Hacker und wie ist er dabei vorgegangen?
Laut eigener Darstellung ist er generell an dem Knacken von verschiedenen Verschlüsselungs- und Sicherheitstechnologien interessiert. Darüber hinaus stellt er sich als regierungstreuen und patriotischen Iraner dar, wobei er die Mitglieder und Teilnehmer der „Grünen Revolution“ im Iran als Feinde betrachtet und bekämpfen bzw. belauschen möchte.
Da das Internet einerseits schon länger im nahen Osten angekommen ist und diese sogenannten Feinde andererseits meist eh Exil-Iraner sind und im Ausland leben, kommunizieren sie wohl größtenteils über moderne Medien, wie z.B. E-Mail und Skype.
Allerdings würde es dann mehr Sinn machen deren Accounts direkt zu hacken und nicht umständlich die Sicherheitsprotokolle anzugreifen, um mithören zu können.
An sich ist das aber auch egal – den Schutz dieser Protokolle aufzuheben hätte viel weitreichendere Folgen und man könnte Ziele angreifen, die weit über ein paar Exil-Iraner hinaus gehen.
Genau aus dem Grund gab es auch einen Aufschrei in der Sicherheitsszene und genau aus dem Grund wurden diese Protokolle überhaupt versucht zu knacken.
Nun ist ein Protokoll wie SSL jedoch nicht mal eben in 5 Minuten im Kopf einer einzelnen Person entstanden, sondern wurden von vielen schlauen Köpfen über Jahre hinweg als Sicherheitsstandard ausgearbeitet, getestet und etabliert.
Die Sicherheit von SSL beruht zum Beispiel auf dem RSA-Algorithmus (wird meistens genutzt - es können aber auch andere genutzt werden), dessen Verschlüsselungsstärke darauf basiert, dass man extrem große Primzahlen verwendet, deren Faktorisierung mit heutigen Mitteln praktisch unmöglich ist. Würde diese Faktorisierung gelingen, könnte man RSA und letztendlich auch SSL schnell knacken und mitlauschen. Genau dies hat der Comodo-Hacker versucht und laut eigener Darstellung auch ein paar interessante Ergebnisse erzielt, ist aber im Großen und Ganzen gescheitert.
Daraufhin ist er eher wie ein klassischer Hacker vorgegangen und hat in diesem komplexen Zerifizierungssystem nach Schwachstellen gesucht – erfolgreich!
Über klassische Sicherheitslücken, in den Servern einiger SSL-Zertifikatsreseller, stieg er in deren Systeme ein, schaute sich an, wie die Zertifizierung zwischen Reseller und großer Vergabestelle (Comodo) funktioniert und ging von dort aus einen Schritt weiter, um direkt die große Vergabestelle zu attackieren.
Dies war wohl nicht ganz trivial, aber letztendlich doch wieder über diverse Sicherheitslücken möglich, zumal er bereits über priviligierte Rechte, über die zuvor kompromitierten Zugänge der Reseller, verfügte.
So versuchte er sich Zertifikate für verschiedene Adressen zu holen – darunter die Loginserver von Google, Google Mail, Hotmail, Windows Live, Yahoo Mail, Skype und Mozilla Add Ons (Firefox Browser). Man sieht hier schon, dass er sich keine kleinen Fische ausgesucht hat, sondern gleich auf die ganz großen abzielt.
Glücklicherweise wurde dies von Comodo relativ schnell bemerkt, auch wenn es anscheinend noch etwas hin und her gab. Hätte der Hacker es wirklich geschafft sich als die genannten Seiten auszugeben, hätte er nicht nur die Daten einiger Regierungsdaten abfischen könenn, sondern von Millionen von Internetnutzern, die diese Dienste verwenden.
Wer steckt dahinter?
Hier wird es nun wirklich interessant.
Nach dem „Zwischenfall“ meldete sich ein Insider via Pastebin unter dem Pseudonym „ComodoHacker“ zu Wort und rühmte sich mit dem Hack. Er veröffentlichte in einem Zeitraum von drei Tagen fünf Textdokumente, die zumindest belegen, dass hinter diesem Account eine oder mehrere Personen stecken müssen, die mit diesem Hack und den technischen Details sehr vertraut sind.
Ursprünglich dachte man, dass der oder die Angreifer zur iranischen Regierung gehören, da die IP direkt aus Teheran stammt. In den Dokumenten ist jedoch die Rede davon, dass es sich nur um eine Person handelt, die sich, wie bereits erwähnt, als regierungstreu und patriotisch sieht. Darüber hinaus scheint sie sehr von sich überzeugt zu sein und behauptet das Können von 1000 Hackern zu besitzen. Generell klingen seine Texte sehr nach „typisch arabischer Rhetorik“ (ohne dies abwertend zu meinen).
Er stellt sich als einzelgängerischen Hacker dar, der erst 21 Jahre alt wäre, aber sich bereits seit 6 Jahren mit Sicherheitstechnologien beschäftigt. An sich eine typische Vita für einen Hacker.
Vor allem aber droht er westlichen Mächten und beschreibt seine eigene Macht im Internet als nahezu unbegrenzt, da er in naher Zukunft sämtliche Sicherheitsprotokolle gehackt haben wird. Einfache Kritiker werden als Dummköpfe beschimpft und es wird ihnen empfohlen einen Doktor aufzusuchen. Auch an ein paar religiösen Anspielungen mangelt es nicht.
Insgesamt wirken all diese Aussagen eher wie die eines infantilen Fanatikers.
Die Frage ist nun, ob es sich dabei wirklich um einen „durchgedrehten, aber talentierten jungen iranischen Hacker“ handelt. Einen wirklichen Beweis dafür gibt es nicht.
Bewiesen wird lediglich, dass die Person, die diese Informationen online gestellt hat, Zugang zu Insiderinfos hatte und höchstwahrscheinlich eine iranische IP nutzte. Wer hinter dem PC saß und ob die Attacke überhaupt von dort ausging oder der PC nur als Zwischenstation genutzt wurde, um die wahre Herkunft des Angreifers zu verschleiern, wird man definitiv nicht klären können.
Es wäre genau so denkbar, dass Comodo von irgendeinem 0815-Hacker geknackt worden ist, was wirklich peinlich wäre und die Spuren daher auf den Iran lenkt, da dies etwas von der eigentlichen Problematik der unsauberen Zertifikatsvergabe ablenkt.
Hier wird es nun wirklich interessant.
Nach dem „Zwischenfall“ meldete sich ein Insider via Pastebin unter dem Pseudonym „ComodoHacker“ zu Wort und rühmte sich mit dem Hack. Er veröffentlichte in einem Zeitraum von drei Tagen fünf Textdokumente, die zumindest belegen, dass hinter diesem Account eine oder mehrere Personen stecken müssen, die mit diesem Hack und den technischen Details sehr vertraut sind.
Ursprünglich dachte man, dass der oder die Angreifer zur iranischen Regierung gehören, da die IP direkt aus Teheran stammt. In den Dokumenten ist jedoch die Rede davon, dass es sich nur um eine Person handelt, die sich, wie bereits erwähnt, als regierungstreu und patriotisch sieht. Darüber hinaus scheint sie sehr von sich überzeugt zu sein und behauptet das Können von 1000 Hackern zu besitzen. Generell klingen seine Texte sehr nach „typisch arabischer Rhetorik“ (ohne dies abwertend zu meinen).
Er stellt sich als einzelgängerischen Hacker dar, der erst 21 Jahre alt wäre, aber sich bereits seit 6 Jahren mit Sicherheitstechnologien beschäftigt. An sich eine typische Vita für einen Hacker.
Vor allem aber droht er westlichen Mächten und beschreibt seine eigene Macht im Internet als nahezu unbegrenzt, da er in naher Zukunft sämtliche Sicherheitsprotokolle gehackt haben wird. Einfache Kritiker werden als Dummköpfe beschimpft und es wird ihnen empfohlen einen Doktor aufzusuchen. Auch an ein paar religiösen Anspielungen mangelt es nicht.
Insgesamt wirken all diese Aussagen eher wie die eines infantilen Fanatikers.
Die Frage ist nun, ob es sich dabei wirklich um einen „durchgedrehten, aber talentierten jungen iranischen Hacker“ handelt. Einen wirklichen Beweis dafür gibt es nicht.
Bewiesen wird lediglich, dass die Person, die diese Informationen online gestellt hat, Zugang zu Insiderinfos hatte und höchstwahrscheinlich eine iranische IP nutzte. Wer hinter dem PC saß und ob die Attacke überhaupt von dort ausging oder der PC nur als Zwischenstation genutzt wurde, um die wahre Herkunft des Angreifers zu verschleiern, wird man definitiv nicht klären können.
Es wäre genau so denkbar, dass Comodo von irgendeinem 0815-Hacker geknackt worden ist, was wirklich peinlich wäre und die Spuren daher auf den Iran lenkt, da dies etwas von der eigentlichen Problematik der unsauberen Zertifikatsvergabe ablenkt.
Genau so gut kann es sich auch um einen False-Flag Angriff westlicher Geheimdienste handeln. Stuxnet, der Virus, der explizit iranische Urananreicherungsanlagen angriff, scheint ja nun aller Wahrscheinlichkeit nach von irgendeiner westlichen Regierung in Auftrag gegeben worden zu sein. (Und war darüber hinaus auch längst nicht der erste Akt von staatlicher Sabotage)
Wieso sollte es sich dann beim Comodo-Hack nicht auch um eine False-Flag Operation handeln?!
Durchgedrehte iranische Hacker auf Steroiden, die in ihren Glaubenskrieg ziehen und heilige westliche Sicherheitstechnologie angreifen, so dass wir nie wieder unsere schönen versauten E-Mails in aller Ruhe schreiben können. Passt gut, um die Leute hier etwas aufzustacheln.
Wieso sollte es sich dann beim Comodo-Hack nicht auch um eine False-Flag Operation handeln?!
Durchgedrehte iranische Hacker auf Steroiden, die in ihren Glaubenskrieg ziehen und heilige westliche Sicherheitstechnologie angreifen, so dass wir nie wieder unsere schönen versauten E-Mails in aller Ruhe schreiben können. Passt gut, um die Leute hier etwas aufzustacheln.
Fazit
Ich persönlich weiß nicht, was ich von der ganzen Sache halten soll.
Der Hack ist so ein typischer Fall, wo mehrere Sicherheitsmechanismen nicht gegriffen haben und zeigt vor allem, dass dieses gesamte System des SSL-Protokolls nutzlos ist, wenn man den Vergabestellen nicht mehr trauen kann – und genau dies war hier der Fall.
Letztendlich ist es mir daher absolut egal, woher der Angriff genau kam – die Verantwortlichen sollen lieber darauf bedacht sein ihre Sicherheitsrichtlinien zu verbessern … damit ich weiter in ruhe versaute Mails schreiben kann :)
*** UPDATE ***
Warum SSL doch für Gamer relevant ist:
Mir fiel spontan noch ein Beispiel ein, wo Gamer definitiv ein Interesse an SSL haben sollten - LAN-Partys!
Wie auch im Internet fließen die Daten prinzipiell erst einmal unverschlüsselt durch ein lokales Netzwerk. Wenn ihr euch nun auf einer Seite einloggen wollt, welche kein SSL nutzt, dann kann theoretisch (und leider auch praktisch) jeder eure Login-Daten "mithören".
Ich erinnere mich noch gut an meine Zeit als ESL-Admin, wo wir regelmäßig großes Gejammere von Usern hatten, die sich auf einer LAN auf der ESL-Seite eingeloggt haben, was belauscht wurde und zu Account-Diebstahl führte. Selbst der ein oder andere Admin wurde Opfer davon. Ich bin mir gerade nicht ganz sicher, aber ich denke, dass dies mittlerweile behoben worden ist, indem die Loginbox immer auf eine SSL-geschützte Seite führt.
Prinzipiell sei aber nur jedem der Hinweis gegeben, auf einer LAN möglichst jede Seite erst einmal mit einem "https", statt nur "http", aufzurufen.
Und:
Heise hat jetzt auch etwas über mögliche Nachfolger von SSL.
Der Hack ist so ein typischer Fall, wo mehrere Sicherheitsmechanismen nicht gegriffen haben und zeigt vor allem, dass dieses gesamte System des SSL-Protokolls nutzlos ist, wenn man den Vergabestellen nicht mehr trauen kann – und genau dies war hier der Fall.
Letztendlich ist es mir daher absolut egal, woher der Angriff genau kam – die Verantwortlichen sollen lieber darauf bedacht sein ihre Sicherheitsrichtlinien zu verbessern … damit ich weiter in ruhe versaute Mails schreiben kann :)
*** UPDATE ***
Warum SSL doch für Gamer relevant ist:
Mir fiel spontan noch ein Beispiel ein, wo Gamer definitiv ein Interesse an SSL haben sollten - LAN-Partys!
Wie auch im Internet fließen die Daten prinzipiell erst einmal unverschlüsselt durch ein lokales Netzwerk. Wenn ihr euch nun auf einer Seite einloggen wollt, welche kein SSL nutzt, dann kann theoretisch (und leider auch praktisch) jeder eure Login-Daten "mithören".
Ich erinnere mich noch gut an meine Zeit als ESL-Admin, wo wir regelmäßig großes Gejammere von Usern hatten, die sich auf einer LAN auf der ESL-Seite eingeloggt haben, was belauscht wurde und zu Account-Diebstahl führte. Selbst der ein oder andere Admin wurde Opfer davon. Ich bin mir gerade nicht ganz sicher, aber ich denke, dass dies mittlerweile behoben worden ist, indem die Loginbox immer auf eine SSL-geschützte Seite führt.
Prinzipiell sei aber nur jedem der Hinweis gegeben, auf einer LAN möglichst jede Seite erst einmal mit einem "https", statt nur "http", aufzurufen.
Und:
Heise hat jetzt auch etwas über mögliche Nachfolger von SSL.
Links:
