{"id":161496,"date":"2015-02-20T07:36:57","date_gmt":"2015-02-20T06:36:57","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=161496"},"modified":"2024-01-17T17:53:31","modified_gmt":"2024-01-17T16:53:31","slug":"komodia-ssl-zertifikate-faktisch-berall-teil-v","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2015\/02\/20\/komodia-ssl-zertifikate-faktisch-berall-teil-v\/","title":{"rendered":"Komodia SSL-Zertifikate faktisch &uuml;berall &ndash; Teil V"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Stop.jpg\" alt=\"\" align=\"left\" \/>[<a href=\"http:\/\/borncity.com\/win\/2015\/02\/20\/komodia-ssl-certificates-and-hijacking-tech-are-widely-spread\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Gestern hatte ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2015\/02\/19\/lenovo-gerte-mit-superfish-adware-verseucht\/\">Lenovo Ger\u00e4te mit Superfish-Adware verseucht<\/a> \u00fcber eine Adware auf Lenovo-Ger\u00e4ten berichtet, die gleich ihr eigenes SSL-Zertifikat installiert. Im Blog-Beitrag <a href=\"http:\/\/blog.erratasec.com\/2015\/02\/extracting-superfish-certificate.html#.VOX6cPmG82M\" target=\"_blank\" rel=\"noopener noreferrer\">Extracting the SuperFish certificate<\/a> analysiert jemand das Zertifikat der Firma Komodia. Nun stellt sich heraus, dass das Zertifikat praktisch \u00fcberall auf Rechnern installiert ist.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/78151adcc6514bacb7629d8442303803\" alt=\"\" width=\"1\" height=\"1\" \/>Einen <a href=\"http:\/\/marcrogers.org\/2015\/02\/19\/will-the-madness-never-end-komodia-ssl-certificates-are-everywhere\/\" target=\"_blank\" rel=\"noopener noreferrer\">entsprechenden Artikel<\/a> habe ich bei Marc's Security Ramblings nach einem Hinweis hier gefunden. Marc gibt an, dass die Firma Komodia (<em>www.komodia.com, URL:\u00a0http:\/\/www.komodia.com\/products\/komodias-ssl-decoderdigestor<\/em>) mit einem SSL-Decoder dahinter stecke. Das Abrufen der obigen URL f\u00fchrt aber nicht mehr weiter, da der Betreiber die Site offline genommen hat.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/TYieSy2.jpg\" alt=\"\" \/><\/p>\n<p>Hier ist aber noch eine Seite im web-Archive zu finden. Die Seite erkl\u00e4rt, was Komodia mit dem SSL-Decoder\/Digestor bezweckt:<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/zsRX6Zv.jpg\" alt=\"\" \/><\/p>\n<blockquote><p>\u00bbKomodia \u00bb Komodia's SSL Decoder\/Digestor<\/p>\n<p>Our <strong>advanced SSL hijacker SDK<\/strong> is a brand new technology that allows you to access data that was encrypted using SSL and perform on the fly SSL decryption. The hijacker uses Komodia's Redirector platform to allow you easy access to the data and the ability to modify, redirect, block, and record the data without triggering the target browser's certification warning.<\/p>\n<h5>This unique technology opens the door to number of exciting possibilities:<\/h5>\n<ul>\n<li>Parental control: Filter SSL data based on keywords and URI \u2013 unlike current SSL filtering, which is based on IPs.<\/li>\n<li>Secure anonymizer: strip data revealing information from SSL traffic.<\/li>\n<li>Spam filtering: Filter encrypted Outlook mail sessions.<\/li>\n<li><span style=\"text-decoration: underline;\">Traffic monitoring<\/span>: Track surfing activities containing <span style=\"text-decoration: underline;\">encrypted data<\/span> (Current tracking products can only report IPs.)<\/li>\n<li>Stream sniffing: <span style=\"text-decoration: underline;\">Sniff encrypted network activity<\/span>.<\/li>\n<\/ul>\n<\/blockquote>\n<p>Die Jungs wollen also ganz klar alles, was SSL-verschl\u00fcsselt ist, \u00fcberwachen, protokollieren und decodieren k\u00f6nnen. Dazu bieten sie einen Hijacker SDK an. Auf der momentan nur \u00fcber Web-Caches oder \u2013Archive abrufbaren Seite erkl\u00e4ren die Macher, wie das funktioniert. Hier ein Screenshot der betreffenden Seite.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/JwawNKp.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.imgur.com\/JwawNKp.jpg\" alt=\"\" width=\"629\" height=\"649\" \/><\/a><\/p>\n<p>Die Webseitenanfragen des Browsers (IE) werden \u00fcber den Komodia SSL Hijacker zum Komodia Redirector umgeleitet. Diese Komponenten zeichnen die Anforderungen auf und analysieren auch SSL verschl\u00fcsselte Daten. Hier die Original Werbeaussagen:<\/p>\n<ul>\n<li>Internet explorer connects to a web server on port 443 using SSL. The data is encrypted.<\/li>\n<li>Komodia's SSL hijacker intercepts the communication and redirects it to Komodia's Redirector. The channel between the SSL hijacker and the Redirector is encrypted.<\/li>\n<li>At this stage, Komodia's <span style=\"text-decoration: underline;\">Redirector can shape the traffic, block it, or redirect it to another website<\/span>.<\/li>\n<li>Communication between the Redirector and the website is encrypted using SSL.<\/li>\n<li><span style=\"text-decoration: underline;\">All data received from the website can be again modified and\/or blocked<\/span>. When data manipulation is done, it is forwarded again to Internet explorer.<\/li>\n<li>The browser displays the SSL lock, and the session will not display any \"Certificate warnings\".<\/li>\n<\/ul>\n<p>Wer also Zugriff auf den Komodia Redirector bekommt, kann mit den Daten alles machen, die Kommunikation auf Malwareseiten umleiten, die Inhalt auslesen, den Abruf bestimmter Webseiten blockieren und auch Werbung einblenden. Und der Benutzer bekommt davon nichts mit, weil der Browser die gr\u00fcne <em>https<\/em>-Sicherheitsanzeige einblendet und vom Man-in-the-middle-Angriff nichts ahnt.<\/p>\n<p>Dazu muss aber das SSL-Zertifikat auf den Rechnern installiert werden. Marc hat nun in <a href=\"http:\/\/marcrogers.org\/2015\/02\/19\/will-the-madness-never-end-komodia-ssl-certificates-are-everywhere\/\" target=\"_blank\" rel=\"noopener noreferrer\">seinem Blog-Beitrag<\/a> ein wenig unter die Decke geschaut und erschreckendes festgestellt. Wie er ausf\u00fchrt, scheint das Framework des Komodia SSL Hijacker in vielen Produkten zum Einsatz zu kommen. Er hat folgende Produkte gefunden:<\/p>\n<ol>\n<li>Komodias \"Keep My Family Secure\" Parental Control Software.<\/li>\n<li>Qustodios Parental Control Software<\/li>\n<li>Kurupira Webfilter<\/li>\n<\/ol>\n<p>Alle benutzen das gleiche SSL-Zertifikat, dessen Passwort <em>komodia<\/em> lautet (siehe <a href=\"http:\/\/blog.erratasec.com\/2015\/02\/extracting-superfish-certificate.html#.VOX6cPmG82M\" target=\"_blank\" rel=\"noopener noreferrer\">Extracting the SuperFish certificate<\/a>). Bedeutet also: In jedem Produkt, welches Komodia-Komponenten enth\u00e4lt, d\u00fcrfte durch das gleiche Kit 'infiziert' sein. Es ist also nicht \"ein wenig Lenovo Bing Bullshit\", was schlimm genug ist. Sondern das Problem zieht weite Kreise.<\/p>\n<p>Ob ihr betroffen seid, k\u00f6nnt ihr auf dieser Webseite testen (geht nicht f\u00fcr Firefox, da diese eigene Zertifikate verwenden). Angesichts der aktuellen Entwicklung frage ich mich a) was kannst Du im Internet eigentlich noch an sicherer Kommunikation f\u00fcr vertrauliche\/abgesicherte Transaktionen voraussetzen? Antwort: nichts. Und die Frage b) die ich anschlie\u00dfen m\u00f6chte: Was ist von Googles Entscheidung, zuk\u00fcnftig im Google Chrome nur noch <em>https<\/em>-Verbindungen zu pr\u00e4ferieren und <em>http<\/em>-Verbindungen im Browser als unsicher zu markieren, zu halten? Antwort: nichts. Das Internet ist also kaputt \u2013 endg\u00fcltig. Sch\u00f6nen Freitag.<\/p>\n<p><strong>Update:<\/strong> heise.de weist nun in <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Lenovo-Laptops-Sicherheitsluecke-erreicht-kritisches-Stadium-2555934.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a>\u00a0darauf hin, dass mit dem Bekanntwerden des Kennworts jeder eigene Zertifikate vom Komodia-Zertifikat ableiten kann und damit alles wie ein Scheunentor offen steht.<\/p>\n<p><strong>Update 1:<\/strong>\u00a0Das US-CERT hat die <a href=\"https:\/\/web.archive.org\/web\/20231225053314\/https:\/\/www.kb.cert.org\/vuls\/id\/529496\" target=\"_blank\" rel=\"noopener noreferrer\">folgende Liste <\/a>betroffener Produkte ver\u00f6ffentlicht.<\/p>\n<table id=\"vendor-info2\" style=\"margin: 10px 0 20px 0;\">\n<tbody>\n<tr>\n<th style=\"width: 250px; text-align: left; background-color: #ebebeb; border: 1px solid #d5d7da; border-right: none; padding: 5px 10px; margin: 0;\">Vendor<\/th>\n<th style=\"width: 110px; text-align: center; padding: 5px 10px; background-color: #ebebeb; border-top: 1px solid #d5d7da; border-bottom: 1px solid #d5d7da; margin: 0;\">Status<\/th>\n<th style=\"width: 125px; text-align: center; padding: 5px 10px; background-color: #ebebeb; border-top: 1px solid #d5d7da; border-bottom: 1px solid #d5d7da; margin: 0;\">Date Notified<\/th>\n<th style=\"width: 125px; text-align: center; padding: 5px 10px; background-color: #ebebeb; border: 1px solid #d5d7da; border-left: none; margin: 0;\">Date Updated<\/th>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">Atom Security, Inc<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">KeepMyFamilySecure<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">19 Feb 2015<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">Komodia<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">19 Feb 2015<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">Kurupira<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">&#8211;<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">Lavasoft<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">Lenovo<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">19 Feb 2015<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">Qustodio<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">19 Feb 2015<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">Superfish<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">19 Feb 2015<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<tr>\n<td class=\"vendor\" style=\"width: 250px; text-align: left; padding: 5px 10px; margin: 0;\">Websecure Ltd<\/td>\n<td class=\"status\" style=\"width: 110px; text-align: center; padding: 5px 10px; margin: 0;\">Affected<\/td>\n<td class=\"notified\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<td class=\"updated\" style=\"width: 125px; text-align: center; padding: 5px 10px; margin: 0;\">20 Feb 2015<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"excerpt":{"rendered":"<p>[English]Gestern hatte ich im Beitrag Lenovo Ger\u00e4te mit Superfish-Adware verseucht \u00fcber eine Adware auf Lenovo-Ger\u00e4ten berichtet, die gleich ihr eigenes SSL-Zertifikat installiert. Im Blog-Beitrag Extracting the SuperFish certificate analysiert jemand das Zertifikat der Firma Komodia. Nun stellt sich heraus, dass &hellip; <a href=\"https:\/\/borncity.com\/blog\/2015\/02\/20\/komodia-ssl-zertifikate-faktisch-berall-teil-v\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4011,4328,2781],"class_list":["post-161496","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-komodia","tag-sicherheit","tag-ssl-zertifikate"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/161496","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=161496"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/161496\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=161496"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=161496"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=161496"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}