GlobalSign: ComodoHacker hat die falschen Systeme erwischt

GlobalSign hat seine endgültigen Ergebnisse zum Fall „ComodoHacker“ vorgelegt. Der sogenannte ComodoHacker, ein 21-jähriger Iraner, hatte im September behauptet, in die Systeme von GlobalSign eingedrungen zu sein. Der belgische Zertifikatsaussteller nahm seine Server daraufhin für eine Woche vom Netz und startete eine Untersuchung. Das Resultat bestätigt die ersten Eindrücke von Mitte September: Der Hacker, der sich auch als „Sun Ich“ bezeichnet, ist auf dem falschen Server gelandet.

Die Maschine sei kein Teil der Zertifikatausgabe bei GlobalSign gewesen, heißt es. „Die Domain www.globalsign.com wird nur für die öffentlichen Websites für Nordamerika gebraucht. Auf ihr laufen keine Webanwendungen, die Zertifikate anfordern oder ausgeben können, und sie enthält auch keine Kundendaten.“

Dennoch ist GlobalSign nach eigenen Angaben kein Risiko eingegangen. Es hat das System eingefroren, mit einer neuen Festplatte frisch aufgesetzt und die Passwörter aller Kunden zurückgesetzt.

Die Angaben von GlobalSign decken sich letztlich mit dem Wortlaut der Erklärung, die Sun Ich auf Pastebin im September abgegeben hatte: „Ich habe Zugriff auf ihren ganzen Server, habe Backups der Datenbank angefertigt, ihr Linux/tar heruntergeladen; ich habe sogar den privaten Key der Domain globalsign.com.“

Das von Sun Ich genutzte Konto bei Pastebin wurde seit September nicht mehr genutzt. Die von ihm angekündigten weiteren Attacken sind ausgeblieben. Das macht die Bedrohung durch kompromittierte Zertifikate aber nicht geringer. Im Oktober hatte die Electronic Frontier Foundation einen erfolgreichen Angriff auf eine Ausgabestelle solcher Zertifikate gemeldet, ohne deren Namen zu nennen.

Und auch wenn der „ComodoHacker“ den falschen Server von GlobalSign erwischt haben sollte, war er doch ein halbes Jahr zuvor beim namensgebenden Angriff auf Comodo erfolgreich gewesen. Er entwendete dem Sicherheitsanbieter neun SSL-Zertifikate. Er habe den Angriff als Protest gegen die US-Regierung gestartet, erklärte der Iraner im April gegenüber ZDNet. Als Beweis veröffentlichte er die private Hälfte eines der geklauten SSL-Zertifikate im Netzwerk von GlobalTrust, einem italienischen Vertriebspartner von Comodo, der nicht mit GlobalSign zu verwechseln ist.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels