Einbruch bei niederländischer Zertifizierungsstelle: Iranische Internetnutzer werden ausspioniert

Hallbergmoos, den 6. September 2011 – Der Angriff auf die niederländische Zertifizierungsstelle DigiNotar hat weitreichendere Auswirkungen als ursprünglich angenommen und betrifft eine Vielzahl von .com-Domains wie beispielsweise google.com. Wie interne Nachforschungen von Trend Micro ergeben haben, sind davon in erster Linie die Internet-Nutzer in mehr als 40 verschiedenen Netzwerken von Internet-Service-Providern und Universitäten im Iran im Visier der Angreifer. Mit Hilfe der von den Cyberkriminellen gefälschten digitalen Zertifikate – einer Art digitaler Ausweise – kann der gesamte verschlüsselte Datenverkehr dieser Anwender mitgelesen werden.

Bereits im Juli waren Hacker in die Systeme von DigiNotar eingebrochen und hatten falsche SSL-Zertifikate für Hunderte Domain-Namen, einschließlich google.com, sowie für die gesamte .com-Top-Level-Domäne, ausgestellt. Eine Liste mit den gefälschten Zertifikaten, die keinen Anspruch auf Vollständigkeit erhebt, ist unter https://blog.torproject.org/files/rogue-certs-2011-09-04.csv abrufbar.

SSL-Zertifikate stellen eine Art digitalen Ausweis dar, mit dessen Hilfe Web-Browser feststellen können, ob eine Web-Site authentisch ist. Das ist aus Anwendersicht insbesondere beim Online-Banking, der abgesicherten Kommunikation über E-Mail-Anbieter oder bei jeder anderen Web-Site relevant, mit der etwa zum Zweck des Online-Shopping eine sichere Verbindung aufgebaut wird. Erst wenn der Austausch der Zertifikate die Echtheit oder Identität der vom Anwender adressierten Website festgestellt hat, kann die verschlüsselte Kommunikation beginnen.

Das Gefährliche an den gefälschten Zertifikaten ist, dass die Web-Browser der Anwender sie nicht als solche erkennen. Dadurch lassen sie sich für so genannte Man-in-the-Middle-Angriffe missbrauchen. Das heißt, dass die Hintermänner hinter der Attacke den kompletten verschlüsselten Datenverkehr der betroffenen Anwender mitlesen können. Die Analyse der Daten aus dem „Smart Protection Network“ (http://de.trendmicro.com/de/about/core-technologies/smart-protection-network/) von Trend Micro zeigen, dass eine Vielzahl von iranischen Internet-Nutzern derzeit mithilfe solcher Angriffe ausspioniert werden.

Weitere Informationen finden sich im Trend Micro Blog unter http://countermeasures.trendmicro.eu/diginotar-iran-certificates-and-you/.

Trend Micro, einer der international führenden Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an.
Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.

Trend Micro Deutschland GmbH
Peter Höger
Zeppelinstraße 1
85399 Hallbergmoos
0811-88990700

http://www.trendmicro.de/
peter_hoeger@trendmicro.de

Pressekontakt:
phronesis PR GmbH
Marcus Ehrenwirth
Ulmer Straße 160
86156 Augsburg
ehrenwirth@phronesis.de
0821-444800
http://www.phronesis.de/