Die Furcht vor einer "Facebook-Revolution" hat offenbar auch bei den iranischen Sicherheitsbehörden Spuren hinterlassen: Dem Bericht einer amerikanischen IT-Sicherheitsfirma zufolge sollen iranische Hacker versucht haben, mittels falscher Sicherheitszertifikate Passwörter von Internetnutzern auszuspionieren.
Dabei handelte es sich um gefälschte SSL-Zertifikate für Googles E-Mail-Dienst Gmail, Yahoos Login-Seite, den Internet-Telefoniedienst Skype, Seiten von Microsoft und des Firefox-Herstellers Mozilla, wie die IT-Sicherheitsfirma Comodo mitteilt.
SSL-Zertifikate werden dazu verwendet, Verbindungen zu Webseiten zu verschlüsseln. Comodo gibt solche Zertifikate aus, arbeitet aber dabei mit Partnerunternehmen zusammen - einer dieser Firmen wurden offenbar neun solcher Online-Dokumente gestohlen.
Diese ermöglichen es Angreifern, Internetnutzern eine Falle zu stellen: Sie könnten beispielsweise die Seite von Google täuschend echt nachbauen und dem Surfer mit dem SSL-Zertifikat vorgaukeln, dass er sich in einer sicheren Umgebung befindet. In Wahrheit speichert die präparierte Seite allerdings die eingegebenen Nutzernamen und Passwörter, führt also eine Phishing-Attacke durch.
In der Regel haben solche Angriffe finanzielle Ziele und richten sich gegen Online-Banking-Kunden oder Internet-Shopper. In diesem Fall hätten alle betroffenen Domainnamen mit Kommunikationsdiensten zu tun, sagte Comodo-Chef Melih Abdulhayoglu dem Branchendienst Cnet: "Da steckt überhaupt keine finanzielle Motivation dahinter."
Konzertierter Passwortklau
Die Spur des Angreifers führt Medienberichten zufolge nach Iran: Der Diebstahl sei am 15. März von IP-Adressen in Teheran durchgeführt worden. Dahinter, so spekulieren nun Internet-Sicherheitsexperten, könnte eine großangelegte Aktion des iranischen Sicherheitsapparates stehen.
Das Szenario sieht so aus: Um möglichst viele Nutzer statt zu renommierten Diensten wie Google oder Yahoo auf falsche Seiten zu locken, könnten die iranischen Sicherheitsbehörden den Webverkehr im Land einfach umleiten. Dies ist deshalb möglich, weil die iranischen Internetprovider sich entweder in Staatshand befinden oder den dortigen Behörden den Durchgriff erlauben müssen. Der Endnutzer würde eine Umleitung nicht einmal bemerken - das Sicherheitszertifikat suggeriert dem Browser, sich auf einer legitimen Seite zu befinden.
Comodo weigert sich, den Namen des Partnerunternehmens zu nennen, von dessen Servern die Zertifikate offenbar gestohlen wurden. Es soll sich im südeuropäischen Raum befinden.
Es ist nicht der einzige unklare Aspekt der Angelegenheit: So ist nicht bekannt, ob eine mögliche Phishing-Aktion tatsächlich ausgeführt und persönliche Passwörter geklaut wurden. Die gestohlenen Zertifikate wurden inzwischen deaktiviert.
Und auch ob die iranische Regierung wirklich hinter der Aktion steht, lässt sich nur schwer beweisen: Die Herkunft von Angriffen lässt sich normalerweise sehr einfach verschleiern, der Server, von dem die Attacken gekommen sein sollen, ist derzeit inaktiv.
Lücken im System heelfen autoritären Staaten
Für eine großangelegte Aktion spricht die derzeitige Situation im Nahen Osten: Iran hat Berichten zufolge seit Beginn der Aufstände in der arabischen Welt seine Zensur- und Überwachungsaktivitäten verstärkt, eine Überwachung fast chinesischen Ausmaßes könnte durchaus im Sinne der umstrittenen Ahmadinedschad-Regierung sein.
Hinsichtlich des Internets hatte diese bislang vor allem darauf gesetzt, wichtige Kommunikationsdienste wie Facebook oder Twitter zu blockieren oder bei regierungskritischen Protesten die Bandbreite zu drosseln.
Im Netz hat sich in den vergangenen Jahren allerdings die "Iranian Cyber Army" einen Namen gemacht: Die Gruppe hatte unter anderem den Mikrobloggingdienst Twitter zeitweise lahmgelegt und soll ein Botnetz mit gekaperten Rechnern unter seiner Kontrolle haben, das aus bis zu 20 Millionen Computern bestehen soll. Ob die Organisation der Regierung nahesteht, ist allerdings wiederum nicht bekannt.
Der staatliche Versuch, über ausgeklügelte Manipulationsmethoden auf möglichst viele Passwörter zuzugreifen, wäre nicht neu: Während des Aufstands in Tunesien versuchte das dortige Regime einem Bericht des Atlantic Monthly zufolge Ende 2010, die kompletten Zugangsdaten von Facebook-Mitgliedern abzusaugen. Nur weil Facebook darauf aufmerksam wurde und Gegenmaßnahmen ergriff, konnte der Diebstahl gestoppt werden.
Der Missbrauch der SSL-Zertifikate zeigt allerdings auch, wie verwundbar diese einst als sicher gerühmte Technik wirklich ist. Um zu testen, ob ein Sicherheitszertifikat tatsächlich legitim ist, können Browser im Netz eine Sperrliste abfragen. Diese Abfrage lässt sich allerdings in der Praxis relativ einfach blockieren, der Internet-Nutzer erfährt dann nicht, dass er sich in falscher Sicherheit wiegt.
Comodo hat deshalb die Hersteller aller wichtigen Browser darum gebeten, die Nummern der gesperrten Zertifikate direkt in eine Blacklist im Surfprogramm einzupflegen. Google Chrome, Mozillas Firefox und der Internet Explorer wurden inzwischen mit entsprechenden Updates auf den neuesten Stand gebracht. Auch die Betreiber der entsprechenden Seiten haben angekündigt, die Lage genau zu analysieren.
SSL - ein Unsicherheitsfaktor?
Das grundsätzliche Problem ist damit allerdings nicht gelöst: Das SSL-System beruht auf der Annahme, dass die Zertifikate nicht in falsche Hände kommen und ihr Diebstahl sofort auffällt. Bei dem Comodo-Partner herrschten aber entweder laxe Sicherheitsbedingungen oder die Zertifikate wurden gegen Geld weitergegeben - bei der schieren Zahl an SSL-Händlern in aller Welt inzwischen ein gewaltiges Risiko.
"Es ist ein Albtraum-Szenario", folgert deshalb Mikko Hypponnen, Forschungschef der finnischen IT-Sicherheitsfirma F-Secure, im Gespräch mit dem Wall Street Journal. "Wir müssen den Unternehmen vertrauen können, die diese Zertifikate verkaufen. Wenn wir es nicht können, dann ist künftig alles möglich."