Datenschutz & Sicherheit
CA in der Kritik: Zertifikate für 1.1.1.1 bringen Cloudflare auf die Palme
Eine Zertifizierungsstelle (CA) aus Kroatien hat mehrere Zertifikate für die IP-Adresse 1.1.1.1 ausgestellt, ohne die notwendige Genehmigung dafür eingeholt zu haben. Die Adresse gehört zu Cloudflares frei nutzbarem DNS-Server, der auch Anfragen per verschlüsselter HTTP-Verbindung entgegennimmt. Publik wurde der Lapsus eher zufällig, die CA leistete sich jedoch noch mehr Schnitzer.
Digitale Zertifikate sind essenziell für die sichere Kommunikation im Web, daher ist ihre Vergabe an strenge Richtlinien gebunden. Die kroatische CA Fina hielt sich an diese Richtlinien offenbar nicht immer – und das, obwohl sie zumindest in Microsoft-Browsern und der EU-Infrastruktur für qualifizierte Webseiten-Zertifikate (QWAC) als vertrauenswürdig gilt.
Vertrauen unbegründet? Diese Produkte und Infrastrukturen akzeptieren von der Fina-CA ausgestellte Zertifikate.
Ein Nutzer des Forums Hacker News fand ein von Fina ausgestelltes Zertifikat, das ihm seltsam vorkam und mit dem er eine weitreichende Untersuchung in Gang setzte. Es war für die IP-Adresse 1.1.1.1 ausgestellt, die das US-Unternehmen Cloudflare seit 2018 für einen freien DNS- und VPN-Dienst verwendet. Dieser unterstützt auch DNS over HTTPS (DoH) und braucht dafür ein gültiges Zertifikat. Das stammt jedoch nicht von Fina, sondern von DigiCert – die kroatische CA hatte die IP-Adresse offenbar nur für Testzwecke verwendet.
Unerlaubte Test-Zertifikate für Cloudflare-IP
Das hätte sie aber nicht gedurft. Denn: Um ein digitales Zertifikat zu erhalten, muss der Antragsteller seine Berechtigung am Subjekt des Zertifikats – üblicherweise eines vollqualifizierten Domainnamens (FQDN) oder einer IP-Adresse – nachweisen. Das gilt auch, wenn die CA selber ein Zertifikat ausstellt, etwa zu Testzwecken. Und so landete der Vorgang rasch auf der zuständigen Mailingliste des Browserherstellers Mozilla und rief die Experten auf den Plan.
Die stellten fest, dass es beileibe nicht beim Einzelfall geblieben war – neben einem halben Dutzend Zertifikaten für 1.1.1.1 hatte Fina auch eines für die von Oracle verwaltete IP-Adresse 2.2.2.2 ausgestellt, einige für private IP-Adressen aus dem Netz 10.0.0.0/8 – und bisweilen hatten die Kroaten erstaunliche Kreativität beim Umgang mit Hostnamen bewiesen. Und das nicht seit gestern: Die Historie der 1.1.1.1-Testzertifikate beginnt im Februar 2024, mithin vor anderthalb Jahren.
Cloudflare zürnt, CA wiegelt ab
Der US-Konzern ist wenig amüsiert und findet in einem ausführlichen Blogeintrag deutliche Worte für den Fauxpas: Es handele sich um einen „inakzeptablen Sicherheitsverstoß der Fina CA“. Wer ihr weiter vertraue, solle unmittelbar handeln, um diese Entscheidung zu überprüfen – offenbar ein Wink mit dem digitalen Zaunpfahl gen Redmond. Zudem führte Cloudflare eine Untersuchung durch, die weitere Sicherheitsverstöße ans Licht bringen sollte, etwa durch „Man in the Middle“-Angriffe oder BGP-Hijacks der IP-Adresse 1.1.1.1.
Cloudflare lobte zudem das Programm der „Certificate Transparency“, das seit Jahren CAs verpflichtet, jedes ausgestellte Zertifikat in ein „Ewiges Logfile“ zu schreiben, das über Dienste wie Censys oder crt.sh einsehbar ist. Doch auch deutliche Selbstkritik erspart der Internetkonzern sich nicht: Man habe das fälschlich ausgestellte Zertifikat zu spät bemerkt und werde nun zusätzliche Maßnahmen ergreifen, um künftig schneller von derlei Problemen zu erfahren.
Die betroffene CA hatte sich zunächst gegenüber Cloudflare gerechtfertigt, tat dies später aber auch öffentlich im Mozilla-Bugtracker. Man habe die IP-Adresse versehentlich zu Testzertifikaten hinzugefügt, die jedoch nie außerhalb der Fina-eigenen Testumgebung in Gebrauch gewesen seien. Alle Zertifikate seien mittlerweile zurückgezogen („revoked“) und werde interne Prozeduren und Dokumentation verbessern.
Auswirkungen: für Nutzer gering, Verursacher muss zittern
Ob dieses Versprechen den gestrengen Hütern der Web-PKI genügt, darf man getrost bezweifeln. Die im CA/Browser Forum (CAB) organisierten Hersteller von Webbrowsern und Vergabestellen digitaler Vertrauensnachweise nehmen Verstöße wie diesen nie auf die leichte Schulter. Microsoft bekommt dies derzeit zu spüren und muss wegen eines Tippfehlers bis November Millionen Zertifikate zurückziehen, anderen CAs entzogen CAB-Mitglieder kurzerhand das Vertrauen komplett.
Für die kroatische CA steht immerhin die Verankerung in Microsofts und Adobes Produkten auf dem Spiel und auch die Betreiber der EU-Infrastruktur für qualifizierte Webzertifikate (QWAC) dürften sich den Vorgang sehr genau anschauen. Nutzer des DNS-Dienstes 1.1.1.1 hingegen dürfen aufatmen: Dass ihnen Gefahr drohte, etwa durch abgefangene DNS-Abfragen, ist höchst unwahrscheinlich.
(cku)
Datenschutz & Sicherheit
Have I Been Pwned: 183 Millionen Zugänge aus Infostealer-Sammlung hinzugefügt
Das Have-I-Been-Pwned-Projekt (HIBP) ist um 183 Millionen entwendete Zugänge reicher. Betreiber Troy Hunt hat von Infostealern ausgeleitete Zugangsdaten, die von der Firma Synthient gesammelt wurden, zur ohnehin schon riesigen Datensammlung hinzugefügt.
Weiterlesen nach der Anzeige
Bei Infostealern handelt es sich um Trojaner, die auf dem Rechner oder Smartphone von Opfern installiert wurden – oftmals landen die dort, weil die Besitzer etwa vermeintlich gecrackte Software installiert haben oder weil durch Sicherheitslücken in der genutzten Software eingeschleuste Malware sich einnisten konnte. Die schneiden dort mit, wenn sich die Opfer in Dienste einloggen, und schicken die Zugangsdaten an ihre Command-and-Control-Server. Oftmals landen die Daten dann in offen zugänglichen Cloudspeichern oder etwa in Telegram-Kanälen, wo sie andere Kriminelle sammeln und neu zusammenstellen sowie mit Daten aus älteren Lecks abgleichen und vermengen.
Solche Daten hat Synthient gesammelt. Have-I-Been-Pwned-Betreiber Troy Hunt hat nun die Synthient-Datensammlung aus dem April dieses Jahres erhalten. Nach dem Aufräumen – „Normalisieren“ und Deduplizeren nennt Hunt explizit in der Ankündigung – blieben aus den Milliarden Einträgen noch 183 Millionen einzigartige Zugänge übrig. Die umfassen die Webseite, auf der sie eingegeben wurden, sowie Nutzernamen und Passwort.
Auf HIBP auffindbar
Der Datensatz ist nun über die HIBP-Webseite durchsuchbar. Als Suchkriterien sind E-Mail-Adressen, Passwörter, Domains und die Website, auf der Zugangsdaten eingegeben wurden, verfügbar.
Bis Anfang dieses Jahres hatte das HIBP-Projekt lediglich Daten aus bekannten Datenlecks oder Einbrüchen von Organisationen in der Datenbank gesammelt. Seitdem hat Troy Hunt jedoch begonnen, auch die öffentlich aufgetauchten, von Infostealern entwendeten Daten aufzubereiten und zu ergänzen.
Die direkte Adresssuche soll solche Infostealer-Daten jedoch nicht zurückliefern. Da auch die Adressen dazugehören, wo die Zugangsdaten eingegeben wurden, könnten sonst die Privatsphäre der Opfer kompromittiert werden. Hunt nannte dazu als Beispiel, dass bei den Infostealer-Daten Domains mit Wörtern wie „Porn“, „Adult“ oder „xxx“ enthalten sind. Die Informationen können Interessierte sich jedoch an ihre E-Mail-Adresse senden lassen. Dafür ist eine Anmeldung am „Notify Me“-Dienst von HIBP nötig.
Weiterlesen nach der Anzeige
(dmk)
Datenschutz & Sicherheit
„Passwort“ Folge 43: Oracle-Exploits, Post-Quanten-Kryptografie und andere News
Nach der extralangen Folge zu Phrack nähert sich der Podcast wieder seinem Normalzustand an – nicht nur in der Länge, sondern auch inhaltlich: Die Hosts ärgern sich über Oracle, freuen sich über Signal und wundern sich über Geheimdienste. Alles wenig überraschend, aber dahinter stecken dennoch interessante Nachrichten.
Weiterlesen nach der Anzeige
Los geht es jedoch mit Leserfeedback und der Chatkontrolle. Die wurde zwar schon ausführlich in Folge 16 behandelt, aber die Politik lässt das Thema nun mal nicht los. Die Hosts iterieren – leicht verstimmt – warum die Chatkontrolle nach wie vor technisch unausgegoren ist, sowie unverhältnismäßig, gefährlich und vermutlich auch ineffektiv wäre.
Angriff auf Oracle
Danach wird die Laune leider nicht besser, denn Christopher erzählt von Angriffen auf Oracles E-Business-Suite und vor allem von Oracles Verhalten dazu. Das mutet weder professionell noch kundenfreundlich an. Beileibe nicht der problematischste, aber ein sehr illustrativer Aspekt daran ist, dass Oracle dem Angriff – der eine ganze Kaskade von ziemlich peinlichen Sicherheitslücken ausnutzt – nur eine einzelne CVE-Nummer zuordnet. Die Hosts halten nur mit Mühe die Contenance und vermuten weitere Fehler in der Software, die so mit Löchern gespickt scheint. Eine Annahme, die sich schon Stunden nach der Aufzeichnung bewahrheitete.
Nach so viel Frust können sich die Hosts zum Glück einem erfreulichen Thema zuwenden: Sylvester berichtet von Signals neuem Verschlüsselungsprotokoll SPQR, das auch vor zukünftigen Quantencomputern schützen soll. Die Hosts erörtern, welche Probleme Signal damit lösen möchte, warum die Lösung alles andere als trivial ist und welchen Aufwand der Messenger betreibt, damit das neue Protokoll korrekt und fehlerfrei funktioniert.
Hybride Verschlüsselung
SPQR nehmen Christopher und Sylvester auch zum Anlass, etwas allgemeiner über „hybride“ Verschlüsselungen zu sprechen, was in diesem Kontext Systeme bezeichnet, die ein klassisches Verfahren mit einem Post-Quanten-Verfahren kombiniert. Erstere sind wohlbekannt und -erforscht, während letztere vor Angriffen mit Quantencomputern schützen. Deshalb empfehlen viele relevante Stellen und Experten solche Kombinationen. Anders sehen das die Geheimdienste NSA und GCHQ, allerdings mit Argumenten, die die Hosts kaum nachvollziehen können.
Weiterlesen nach der Anzeige
Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
(syt)
Datenschutz & Sicherheit
EU arbeitet an ausufernder Vorratsdatenspeicherung
Vor elf Jahren hat der Europäische Gerichtshof die Vorratsdatenspeicherung gekippt. Seitdem gibt es keine EU-weite Vorratsdatenspeicherung. Jetzt arbeiten die EU-Institutionen an einem neuen Gesetz.
Die EU-Kommission hat bis Juni eine Sondierung und bis September eine Konsultation durchgeführt. Es wird erwartet, dass die Kommission Anfang 2026 ein neues Gesetz vorschlägt.
Standortdaten und Over-the-Top
Die EU-Staaten machen ebenfalls Druck. Die dänische Ratspräsidentschaft hat vor kurzem eine Fragebogen verschickt. Wir veröffentlichen das Dokument. Die Antworten sollen der EU-Kommission beim Schreiben des Gesetzentwurfs helfen.
Die Fragen weisen weit über die in Deutschland diskutierte Vorratsdatenspeicherung von IP-Adressen bei Internet-Zugangs-Anbietern hinaus. Dänemark fragt, ob die EU auch Dienste-Anbieter wie „Over-the-Top“-Dienste verpflichten soll – also etwa Messenger, Videos und Spiele. Dänemark fragt auch nach Verkehrsdaten und Standortdaten – diese sind hochsensibel.
Darüber hinaus fragt Dänemark die EU-Staaten auch nach anlassbezogener Speicherung mit Quick Freeze, Speicher-Dauer, Zugangsregeln und Straftaten, für die Vorratsdaten genutzt werden sollen.
Messenger und Verschlüsselung
Die Vorratsdatenspeicherung ist nur ein Baustein im größeren Wunsch nach „Zugang zu Daten für eine wirksame Strafverfolgung“. Zu diesem Thema hatte eine einseitige Arbeitsgruppe getagt und Forderungen erstellt. Das Generalsekretariat des Rates hat jetzt einen aktuellen Stand verschickt. Wir veröffentlichen auch dieses Dokument.
Die Sicherheitsbehörden wünschen sich den Zugang zu verschiedenen Daten. An erster Stelle steht auch hier die Vorratsdatenspeicherung von Verbindungsdaten. Daneben wünschen sie eine Kommunikationsüberwachung auch bei „Messaging-Apps wie WhatsApp, Facebook Messenger und WeChat“. Und schließlich fordern sie den Zugang zu verschlüsselten Inhalten, auch bei „Ende-zu-Ende-Verschlüsselung“.
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Die dänische Ratspräsidentschaft ruft die EU-Staaten dazu auf, ihre Forderungen in diese Debatte einzubringen.
Ausweis für Mobilfunk
Die EU-Staaten diskutieren außerdem den Ausweis-Zwang für Mobilfunk-Anschlüsse. Noch 2013 sagte die EU-Kommission, dass „es keine Beweise für die Wirksamkeit dieser Maßnahme für die Strafverfolgung gibt“. Das Bundesamt für Sicherheit in der Informationstechnik hat die „Verwendung von Prepaid-Karten zur Anonymisierung“ sogar empfohlen.
Trotzdem hat unter anderem Deutschland 2016 anonyme Prepaid-Karten verboten. Behörden fragen diese Daten jede Sekunde ab.
Staaten wie Polen wünschen sich EU-weite Vorschriften zur Registrierung von SIM-Karten. Anfang des Jahres hat die polnische Polizei einen Vortrag dazu gehalten. Wir veröffentlichen die Präsentation.
Dafür haben sie die Regeln von 37 europäischen Staaten untersucht. 16 Staaten haben eine Registrierungspflicht, darunter Deutschland und Italien. 13 Staaten haben keine Registrierungspflicht, darunter Großbritannien und die Niederlande. Für acht Staaten hat Polen keine Daten gefunden.
Polen schließt daraus, dass es eine EU-weite Registrierungspflicht braucht. Bekämpfen wollen sie damit unter anderem falsche Bomben-Drohungen und Betrug an älteren Menschen. Es ist möglich, dass ein neues EU-Gesetz zur Vorratsdatenspeicherung auch diese Speicherpflicht enthält.
-
UX/UI & Webdesignvor 2 Monaten
Der ultimative Guide für eine unvergessliche Customer Experience
-
UX/UI & Webdesignvor 2 Monaten
Adobe Firefly Boards › PAGE online
-
Social Mediavor 2 Monaten
Relatable, relevant, viral? Wer heute auf Social Media zum Vorbild wird – und warum das für Marken (k)eine gute Nachricht ist
-
Entwicklung & Codevor 2 Monaten
Posit stellt Positron vor: Neue IDE für Data Science mit Python und R
-
Entwicklung & Codevor 2 Monaten
EventSourcingDB 1.1 bietet flexiblere Konsistenzsteuerung und signierte Events
-
UX/UI & Webdesignvor 1 Monat
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
-
UX/UI & Webdesignvor 4 Tagen
Illustrierte Reise nach New York City › PAGE online
-
Apps & Mobile Entwicklungvor 3 Monaten
Firefox-Update 141.0: KI-gestützte Tab‑Gruppen und Einheitenumrechner kommen