GlobalSign hat öffentlich gemacht, wie es „ComodoHacker“ vergangenen Herbst gelungen ist, in einen seiner Server einzudringen und sein digitales Zertifikat zu entwenden. Der Angriff war durch eine nicht gepatchte Open-Source-Software möglich, wie ein Topmanager des Dienstleisters ZDNet Großbritannien mitteilte.
Das Programm war nicht aktualisiert worden, weil es nicht auf einer Liste mit proprietärer Software stand, die gepatcht werden musste, sagte das Mitglied der Geschäftsführung. In seinen Worten: „Es gab da eine alte, nicht gepatchte Version einer Komponente. Es war ein Stück Open-Source-Code, der nicht in die Versionswartung einbezogen war.“
Der Vorfall hatte aber nach Aussage von GlobalSign keine Auswirkungen auf das Root-Zertifikat. Der Server mit diesem Zertifikat sei nicht mit dem Internet verbunden. Um darauf zuzugreifen, müsse man einen Rechner aus einem verschlossenen Depot entnehmen sowie sich mit einer Reihe von Smartcards und mehreren PINs authentifizieren. Der von ComodoHacker geknackte Server sei auch nicht der Mailserver von GlobalSign gewesen. Der Eindringling habe aber auf das Unternehmenszertifikat und einige PDF-Dateien zugreifen können.
Im September hatte GlobalSign nach dem Vorfall seine Zertifikatsausgabe neun Tage lang ruhen lassen. Die Systeme wurden neu aufgebaut.
Schon damals sagte der für eine Untersuchung angeheuerte Sicherheitsdienstleister Fox-IT, der betroffene Server sei ein externer Marketing-Server. Der Eindringling könne sich mit dem Zertifikat möglicherweise als GlobalSign ausgeben. Das Root-Zertifikat, das nötig ist, um anderen Firmen Zertifikate zuzuweisen, sei nicht betroffen gewesen.
GlobalSign kämpft offenbar immer noch mit der Aufarbeitung des Vorfalls und gibt Informationen heraus, um seinen geschädigten Ruf aufzupolieren. Im Dezember 2011 teilte es beispielsweise mit: „ComodoHacker hat die falschen Systeme erwischt.“ Der Hacker erwies sich als 21-jähriger Iraner , der zuvor bei einem anderen Sicherheitsanbieter – Comodo – eingedrungen war und auch ihm Zertifikate gestohlen hatte. Seine weiteren Angriffe galten den Certificate Authorities DigiNotar und StartCom.
Die Einbrüche zeigten die Schwächen des Systems zur Authentifizierung von Websites auf, das auf mehr als 600 Firmen weltweit basiert, denen die Vergabe digitaler Zertifikate anvertraut wurde. SSL-Zertifikate sollen gewährleisten, dass ein Nutzer mit der von ihm gewünschten Website verbunden ist. Die Herausgeber der Zertifikate verwenden allerdings weder einheitliche Sicherheitsstandards, noch gibt es ein Standardverfahren, um gefälschte Zertifikate für ungültig zu erklären.
[mit Material von Tom Espiner, ZDNet.co.uk ]