![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Nachdem Lenovo mit Superfish die Woche in die Medienaufmerksamkeit geraten ist, gelangt auch die Technik des Abfangens von SSL-Datenstr\u00f6men durch SSL-Zertifkate von Komodia in den Fokus. Jetzt bin ich auf ein ganz interessantes Dokument eines Mitarbeiters aus dem Facebook Sicherheitsteam gesto\u00dfen. Und bei Filippo.io gibt es auch neue Infos.<\/p>\n
<\/p>\n
Unter dem Titel Windows SSL Interception Gone Wild hat Matt Richard, ein Threats Researcher im Facebook Security Team einige interessante Sachen zusammen geschrieben (danke an Kristian K\u00f6hntopp f\u00fcr den Link auf Google+). So schreibt Matt ganz richtig, dass es nicht ungew\u00f6hnlich sei, dass Systeme mit vorinstallierter Software ausgeliefert w\u00fcrden. Der Unterschied bei Superfish ist aber die Komodia-Bibliothek, die benutzt wird, um \u00fcber ein installiertes Root-Zertifikat SSL-Verbindungen mitzulesen.<\/p>\n
Im Beitrag wird darauf hingewiesen, dass diese Technik bei Antiviren-Herstellern standardm\u00e4\u00dfig genutzt wird\/werden muss, um die Daten auf Schadsoftware zu filtern. Es wird aber auch darauf hingewiesen, dass sich das von Komodia verwendete Root-Zertifikat, welches auf vielen Rechnern liegt, durch Kriminelle missbrauchen lie\u00dfe. Man k\u00f6nne z.B. in einem \u00f6ffentlichen WiFi einen man-in-the-middle-Angriff ausf\u00fchren und den Nutzern des Netzwerks gef\u00e4lschte Webseiten unterjubeln. Selbst eine https-Verschl\u00fcsselung w\u00fcrde nichts dar\u00fcber aussagen, ob die Verbindung sicher sein. Herausbekommen k\u00f6nnte man dies nur, wenn man die Zertifikatskette auswertet und die Zertifikatsaussteller verifiziert (was aber kein Benutzer macht und auch nicht machen kann \u2013 ich habe mal versucht, f\u00fcr ein Buchprojekt einen Weg zu beschreiben, wie man die Vertrauensw\u00fcrdigkeit eines Zertifikatsausstellers als normaler Anwender verifiziert \u2013 bin da aber gescheitert).<\/p>\n
Bereits 2012 hat Facebook mit der Carnegie Mellon University ein Projekt gestartet, um herauszufinden, wie verbreitet SSL man-in-the-middle-Techniken sind. Damals wurde ein Fall gefunden, wo mehrere Ger\u00e4te zur \"deep packet inspection\" den gleichen privaten Schl\u00fcssel f\u00fcr das Zertifikat \u00fcber verschiedene Ger\u00e4te benutzten. Bei Superfish hat das eine neue Qualit\u00e4t erreicht, ist das Zertifikat doch auf vielen Windows-Rechnern gelandet. Interessant sind auch die Zahlen: 70% der Betroffenen nutzten Google Chrome, 27 % waren mit dem Internet Explorer unterwegs und 3% nutzen Opera. Firefox-Nutzer waren kaum dabei, da der Browser seine eigenen Zertifikate verwendet. Im Facebook-Artikel werden dann einige weitere Produkte aufgef\u00fchrt, die die Komodia-Bibliotheken verwenden. Wie Matt schreibt, ist bei einer Menge dieser Anwendungen Misstrauen angebracht. Denn die Namen der Anwendungen tauchen in Foren auf, die sich mit Adware befassen. Gibt man den Namen der Anwendung in Verbindung mit VirusTotal ein, tauchen die betreffenden Anwendungen samt den Komodia-DLLs als Treffer auf.<\/p>\n
Ob die Anwendungen nun bewusst auf Ad- oder Malware getrimmt sind, ist laut dem Facebook-Bericht nicht relevant. Vielmehr z\u00e4hlt die Tatsache, dass durch die Installation dieser Software samt den Komodia-Root-Zertifikaten eine Menge Systeme potentiell unsicherer werden. Interessant ist f\u00fcr mich auch die Aussage, dass eine Reihe dieser Bibliotheken f\u00fcr den Einsatz ab Windows 8 entworfen wurden und auf \u00e4lteren Windows-Varianten nicht laufen. Matt schreibt, dass Facebook mit Antivirus-Firmen zusammen arbeitet, um solche F\u00e4lle von Malware-Infektionen zu erkennen, sobald Nutzer Facebook-Seiten besuchen. Ich kann mir nur vorstellen, dass Facebook versucht, die Malware zu detektieren und die Funde an die Antiviren-Hersteller weiterleitet. Diese k\u00f6nnen dann \u00fcber ihre Virensignaturen reagieren. Hier findet sich<\/a> die Facebook-Seite zum Thema Sicherheit.<\/p>\n So k\u00f6nnte die ganze Superfish-Geschichte am Ende des Tages noch ein Gutes haben: Das Thema ist in den Fokus der Community geraten und m\u00f6glicherweise werfen ein paar Leute aus der Entwicklergilde einen zweiten Blick auf diverse Produkte und Bibliotheken.<\/p>\n Neues gibt es auch in diesem Blog. Der Sicherheitsforscher, der das Kennwort f\u00fcr das Komodia-Zertifikat herausgefunden hat, legt jetzt nach. Offenbar kann man beliebige selbst erstellte Zertifikate registrieren, wenn das Komodia-Zertifkat und der betreffende Proxy aktiv ist. Sprich: Sobald Komodia-Software auf dem Windows-System vorhanden ist, ist die Zertifikatspr\u00fcfung wirkungslos.<\/p>\n Update: Eine sch\u00f6ne Zusammenfassung des Ganzen kann man bei Golem nachlesen<\/a>. Eine sch\u00f6ne (englischsprachige) Beschreibung von Superfish und der Zertifikate-Problematik findet sich auch im Sophos-Blog<\/a>. Ein weiterer Beitrag zur Lekt\u00fcre empfohlen, findet sich hier.<\/p>\n \u00c4hnliche Artikel: Nachdem Lenovo mit Superfish die Woche in die Medienaufmerksamkeit geraten ist, gelangt auch die Technik des Abfangens von SSL-Datenstr\u00f6men durch SSL-Zertifkate von Komodia in den Fokus. Jetzt bin ich auf ein ganz interessantes Dokument eines Mitarbeiters aus dem Facebook Sicherheitsteam … Weiterlesen Komodia hebelt Zertifkatspr\u00fcfung aus<\/h3>\n
\n<\/strong>Lenovo Ger\u00e4te mit Superfish-Adware verseucht<\/a>
\nKomodia SSL-Zertifikate faktisch \u00fcberall \u2013 Teil V<\/a>
\nBericht der\u00a0Facebook-Sicherheitsleute zu Superfish<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"