Kompass – Zeitung für Piraten

HTTPS ohne Sicherheit: angefaulte „Wurzel-Zertifikate“ auf Dell-Rechnern entdeckt

https
Oberflächlich sicheres HTTPS – Foto: Sean MacEntee Creative Commons Attribution License

Wieder einmal erfahren wir von hausgemachten Sicherheitslücken bei frisch gekauften Personalcomputern. Diesmal trifft es den amerikanischen Hersteller Dell, der auf seinen Geräten offenbar fahrlässig ein eigenes „Root-Zertifikat“ installiert. Entdeckt wurde dieses Zertifikat von rotorcowboy, einem Benutzer des Internetportals reddit.

Root- oder Wurzel-Zertifikate sind elementarer Bestandteil einer sicheren Online-Kommunikation. Sie werden von großen Zertifizierungsstellen erstellt. Aus ihnen leiten sich sichere „Freigaben“ für vielfältige Unter-Zertifikate ab, wie beispielsweise das Zertifikat vom Webmail-Anbieter oder das der Sparkasse fürs abgesicherte Onlinebanking.

Root-Zertifikate sind üblicherweise bei Geräten mit dabei.

Die Schwachstelle: man muss dem vorinstallierten Zertifikate-Pack als Endanwender vertrauen.

Werden etwa vom PC- oder Browser-Hersteller noch „zusätzliche“, aber „böse“ Root-Zertifikate mitgeliefert, kann die Verschlüsselung von vielen Webanwendungen damit gebrochen werden. Kaum ein Benutzer ist nämlich in der Lage zu prüfen, welche Zertifikate er hat und ob die alle korrekt sind.

So sehen die Zertifikate in einem gängigen Webbrowser aus. Jetzt mal eben die Liste durchgehen und Fingerprints vergleichen ...
So sehen die Zertifikate in einem gängigen Webbrowser aus. Jetzt mal eben die Liste durchgehen und Fingerprints vergleichen …

Dank dieser Gegebenheiten können digitale Angreifer ohne großen Aufwand sämtliche „SSL/TLS-Verschlüsselung“ umgehen, wie sie etwa beim „https://www.xyz.de“ implementiert ist. In der Webbrowser-Adresszeile leuchtet es grün „die Verbindung ist sicher“ – in Wirklichkeit ist sie es nicht, denn tief in den Browser-Eingeweiden wirkt das eingeschleuste Zertifikat.

So war es den Spezialisten von Technikportal Heise.de möglich, zum Beispiel die Kommunikation beim Onlinebanking ohne weiteres mitzulesen, nur durch ein kleines Extra-Textfile auf dem Rechner.

Ein wirksamer Schutz der eigenen Daten und der Privatsphäre fängt auf dem heimischen PC an. Ist dieser von vornherein durch böse Zertifikate kompromittiert, so hilft auch keine noch so gut gemeinte Initiative der Regierung zum Ausbau des Verschlüsselungsstandortes Deutschland zum Schutz der Bürger und deren Privatsphäre, sagte gestern der Bundesvorsitzende der PIRATEN, Stefan Körner.

Die Bundesregierung legt in ihrer Initiative „Digitale Agenda 2014 – 2017“ zahlreiche Wohlfühl-Vorschläge, unter anderem „Gut vernetzt mit Sicherheit“ a la „Wir schaffen das“ statt echter Lösungen vor.

Link zur offiziellen Propagandaseite (mit http ohne s): www.digitale-agenda.de

stefan körner
Stefan Körner warnt vor halbgaren Verschlüsselungsinitiativen in der „Digitalen Agenda“ der Bundesregierung. Foto: Joachim S. MüllerC reative Commons Attribution-ShareAlike License