Erinnern Sie sich noch an die Superfish Diskussionen zu Jahresbeginn (2015)?

Computerhersteller Lenovo versendet eine Reihe von Notebooks mit einer vorinstallierten Anwendung namens Visual Recovery einer Marketing-Firma namens Superfish.
Visual Recovery spähte den Web-Traffic aus um die Interessen des Nutzers besser kennen zu lernen und passende Werbeangebote zu unterbreiten. Das Vorgehen ähnelt dem, was Google und andere mit Text tun (in den Recherchen und dem Webmail nach Verwendbarem suchen), nur eben mit Bildern.
Nun dachte aber Superfish es wäre nett, auch den sicheren Web-Datenverkehr (HTTPS) auszuspähen. Im Detail bedeutete das:

  • Abfangen verschlüsselte Verbindungen vom Browser der User
  • Verbinden mit der verschlüsselten Website im Namen des Users (auch Proxying genannt)
  • Entschlüsseln des Inhalts, um ihn zu analysieren
  • Erneuerte Verschlüsselung
  • Übergabe an den Browser, der ja eine verschlüsselte Antwort erwartet

So entstand eines von zwei möglichen Problemen:

  • Als Absender erschien Superfish und nicht, wie zu erwarten wäre, die offizielle Webseite
  • Oder Superfish gab vor, die offizielle Seite zu sein, und die verschlüsselte Antwort hatte somit ein verdächtiges Zertifikat

Standardmässig führen beide Verhaltensweisen zu einer Zertifikatswarnung.

Tun wir mal so, als ob…

Die übliche Reaktion des Browser ist es, so zu tun als ob und dem digitalen Zertifikat von Superfish – oder wer auch immer der Man-In-The-Middle sein mag – zu vertrauen.
Typischerweise wird dies durch Zugabe eines so genannten „trusted root certificates“ erreicht. Dies autorisiert ein Programm damit anstelle der verschlüsselten Seite die Verschlüsselung vorzunehmen. Ist dieser Vermittler eine sicheres Gateway oder ein Web-Filtering-Server, benötigt der Computer nur das vertrauenswürdige Zertifikat und seinen öffentlichen Schlüssel. Der private Schlüssel, der Teil, der tatsächlich die „vorgetäuschten“ Zertifikate unterzeichnet, wird auf dem Gateway gespeichert und besonders geschützt.

Läuft das MITM tatsächlich auf jedem Computer im Netzwerk, dann benötigt jeder Computer eine Kopie des vertrauenswürdigen Zertifikats, des öffentlichen Schlüssels und des privaten Schlüssels, denn die vorgetäuschten Zertifikate werden genau dort auf dem gleichen Computer signiert (Privater Schlüssel) und geprüft (Öffentlicher Schlüssel).

So war es auch bei Superfish und so ergab sich auch das hohe Sicherheitsrisiko, denn die privaten Schlüssel sind weit anfälliger für Diebstahl durch Malware auf einem Computer, als auf einem Server, der sicher im Serverraum eines Unternehmens verschlossen ist. Hier hatte also jeder Computer eine Kopie des gleichen privaten Schlüssels, mit genau dem gleichen Passwort, das überdies ganz einfach aus der Superfish-Software auszulesen war.

Tatsächlich war das Passwort der Name des Drittanbieter-Software-Unternehmens, das die Software-Komponente für die MiTM-Funktionalität erstellt hatte.

So wusste plötzlich jeder Gauner auf der Welt, wie vorgetäuschte Zertifikate für gefälschte Websites ausgegeben werden konnten, die die Prüfung auf Computern mit Superfish-Software bestehen würden. Gauner konnten sich mithin beliebig als Webmail-Dienst ausgeben, als Geschäftspartner oder als Bank.

Riskante Zertifikate – Klappe, die zweite.

Wir spulen vom Februar dieses Jahres vor zum November. Nun sind es Dell-Laptops, über dies es zu berichten gilt.
Zwei von Dell erteilte, vertrauenswürdige Zertifikate wurden in den vergangenen Tagen, zweckentfremdet. Im Windows Zertifikatsmanager sind diese als eDellRoot und DSDTestProvider bezeichnet. Dell hat offiziell auf das erste Zertifikat reagiert und einen Fehler eingeräumt. Ausserdem hat das Unternehmen eine manuelle Fehlerbehebung empfohlen und beschrieben und ein schnelles Software Update zur automatischen Eliminierung des Zertifikats in Aussicht gestellt.
Wir gehen davon aus, dass auch das zweite Zertifikat wie beim ersten beschrieben entfernt werden kann und dass es auch hierfür bald ein automatisches Sicherheitsupdate geben wird.
Ironischerweise gab Dell an, dass das eDellRoot Zertifikat eingesetzt wurde, um das Computer-Modell schneller identifizieren zu können, so dass der Dell Online Support seine Kunden einfacher und schneller bedienen könnte. Warum dafür nun unbedingt ein privater Schlüssel genutzt werden musste, blieb unklar. Dells schnelle Reaktion stieß jedenfalls auf allgemeine Zustimmung. Offenbar hat das DSDTestProvider Zertifikat einen ähnlichen Hintergrund. Anscheinend wird zusammen mit der Dell System Detect (DSD) Software installiert, die den Usern hilft herauszufinden, welche Hardware verwendet wird.

Und nun?

Sophos empfiehlt, den Anweisungen von Dell folge zu leisten. Deren Empfehlungen decken sich mit denen von Sophos, die zu Jahresbeginn die Bereinigung von Superfish beschrieben
und noch immer aktuell sind. Verbrauchern rät das Unternehmen ausserdem, sich mit der Funktion ihres Zertifikatsmanagers vertraut zu machen. Diese, so erwartet man bei Sophos, werden auch zukünftig ein attraktives Ziel für Missbrauch bleiben.

%d Bloggern gefällt das: