taz.de/1/!5101114 - Gopher HTTP proxy

  URI:

       # taz.de -- Gehackte Zertifikate: Google entfernt Sicherheitsschloss
       
       > Google will sicherer werden. Bisher wurden sensible Daten auf Webseiten
       > durch die "SSL"-Technik gesichert. Die kann aber gehackt werden.
       > Alternativen werden gesucht.
       
   IMG Bild: Nicht alles, wo ein Schloss dran ist, ist auch verschlüsselt.
       
       Jeder Internet-Nutzer kennt das kleine Sicherheitsschloss. Es taucht auf,
       wenn man sich auf geschützten Seiten bewegt: Mit dem sogenannten "Secure
       Sockets Layer" (SSL) werden Tag für Tag millionenfach Verbindungen im Netz
       abgesichert. Doch die Verfahren, mit denen die Integrität von SSL
       sichergestellt wird, bekamen in den letzten beiden Jahren gleich mehrfach
       eins auf die Mütze. Es zeigte sich, dass sich die Technik durch die
       Hintertür aushebeln lässt.
       
       Die Grundlagentechnik, die in ihrer ersten Version bereits Mitte der 1990er
       Jahre beim amerikanischen Surfwerkzeughersteller Netscape entstand, ist
       mittlerweile in die Jahre gekommen. Damit SSL funktioniert, muss
       sichergestellt sein, dass die Website, die man ansurft, auch wirklich der
       entspricht, die man sehen möchte. Sonst gibt man seine Bankdaten bei
       Gaunern ein, obwohl es so aussieht, als sei die Verbindung sicher.
       
       Dazu werden von zentralen Stellen, die von kommerziellen Unternehmen
       betrieben werden, digitale Zertifikate ausgegeben. Doch diese Stellen
       lassen sich hacken: 2011 kam heraus, dass es Angreifern gelungen war,
       eigene Zertifikate für große Websites wie Google oder Yahoo zu erstellen,
       die dann in Kombination mit weiteren Tricks zum Abhören eigentlich
       geschützter Verbindungen genutzt werden konnten. Regime im nahen Osten
       sollen sich der Technik bedient haben.
       
       ## Einmal Zertifikat, immer zertifiziert
       
       Ein anderes Problem ist die extrem schwere Rücknahme eines einmal
       ausgestellten Zertifikats. Wird eine ganze Zertifizierungsstelle
       kompromittiert, muss diese in jedem Browser der Welt entfernt werden. Doch
       bieten nicht alle Hersteller Updates an, mobile Geräte bekommen oft gar
       keine Aktualisierungen und die Nutzer wissen nichts davon. Das führt dann
       dazu, dass gefälschte Zertifikate über Jahre verwendet werden.
       
       Es gibt zwar Verfahren, mit denen sich einzelne Zertifikate auch
       nachträglich zurückziehen lassen - dazu werden von den Ausstellern
       sogenannte Certificate Revocation Lists, kurz CRLs, ausgegeben. Deren
       Abfrage dauert aber mindestens eine Sekunde beim Aufruf einer gesicherten
       Adresse, was dem Nutzer als Verlangsamung vorkommt.
       
       Die meisten Browser sind sogar so eingestellt, dass sie die Abfrage einfach
       weglassen, wenn der Listenserver sie nicht erreicht. "Das ist so wie ein
       Sicherheitsgurt, der im Falle eines Unfalls reißt. Obwohl es 99 Prozent der
       Zeit funktioniert, ist es wertlos, weil es nur funktioniert, wenn man es
       nicht braucht", sagt Adam Langley, Sicherheitsforscher bei Google.
       Kriminelle könnten die Abfrage lahmlegen, um sicherzustellen, dass sie
       nicht funktioniere.
       
       ## Chrome ohne Abfrage
       
       Deshalb habe sich Google mittlerweile entschieden, die Abfrage der Listen
       aus seinem hauseigenen Browser Chrome zu entfernen, sagt Langley.
       Stattdessen will das Unternehmen eine eigene, hochverfügbare Liste führen,
       die ständig aktualisiert wird. Sie werde dann mit Browser-Updates
       automatisch übertragen. Langley forderte die Zertifikateaussteller auf,
       Google zeitnah zurückgezogene Zertifikate mitzuteilen. Derzeit dauere so
       etwas oft Monate, heißt es bei dem Internet-Konzern.
       
       Nutzerseitig lässt sich derzeit nur wenig tun - die Browserhersteller und
       die Zertifikateaussteller müssen reagieren. Der [1][Sicherheitsforscher]
       [2][Christopher Soghoian] hatte schon vor fast zwei Jahren vorgeschlagen,
       eine Browser-Zusatzsoftware anzubieten, die prüfen kann, ob Zertifikate
       ungewöhnlicher Herkunft sind. So ließe sich der Nutzer beispielsweise
       darauf aufmerksam machen, dass er zwar bei Google USA eingeloggt ist, aber
       das Zertifikat aus einem Regimeland in Nahost stammt.
       
       Bislang ist die Technik aber noch nicht auf dem Markt. Hilfreich sind
       allerdings bereits jetzt Werkzeuge wie die kostenlose [3][Toolbar] von
       Netcraft für Firefox, die unter anderem das Alter eines Angebots prüft und
       auf Merkwürdigkeiten aufmerksam macht. Die Netzbürgerrechtsorganisation SSL
       betreibt zudem ein sogenanntes [4][SSL-Observatorium], das
       Manipulationsversuche aufdecken soll.
       
       9 Feb 2012
       
       ## LINKS
       
   DIR [1] /Hackerangriff-auf-Zertifikate/!78610/
   DIR [2] /Hackerangriff-auf-Zertifikate/!78610/
   DIR [3] http://toolbar.netcraft.com%3Cspan%20class=
   DIR [4] http://www.eff.org/observatory
       
       ## AUTOREN
       
   DIR Ben Schwan
       
       ## ARTIKEL ZUM THEMA
       
   DIR Vor- und Nachteile von Googles Chrome: Der muss nicht böse sein
       
       Googles Web-Browser Chrome hat sich in vier Jahren zum Marktführer
       entwickelt. Das liegt auch daran, dass die Software wirklich gut ist – wenn
       man sie richtig einstellt.
       
   DIR Firefox Version 11: Feuerfuchs wehrt sich gegen Chrome
       
       Der Open-Source-Browser Firefox verliert Marktanteile – ausgerechnet
       gegenüber Googles Browser. Die neue Version 11 bietet kleinere
       Verbesserungen.
       
   DIR Googles Daten-Attacke auf Safari: Nichts Persönliches
       
       Der Internetkonzern Google hat laut Eigenaussage unabsichtlich die
       Datenschutz-Standards von Apple ausgehebelt. Mit Tracking-Cookies ließ sich
       das Nutzer-Verhalten im Netz nachverfolgen.
       
   DIR Google arbeitet an Musikanlage: Drahtlos beschallt
       
       Musikhören ohne lästigen Kabelsalat – daran arbeitet Google
       US-Medienberichten zufolge. Seit Mitte Januar wird in den Häusern von
       Mitarbeitern getestet.
       
   DIR Datenspeicherung mit "Drive": Google baut Online-Festplatte
       
       Eine Festplatte im Internet? Das gibt es schon. Jetzt will auch Google
       einen Online-Speicherdienst anbieten. Auf "Drive" sollen Nutzer Texte,
       Fotos und Videos speichern können.
       
   DIR Kommentar "Safer Internet Day": Internetausdrucker unter sich
       
       Wieder ist "Safer Internet Day". Und wieder stellt sich die Frage, was
       dieser Tag aussagen soll. Seine wahre Bestimmung steht ihm erst noch bevor.
       
   DIR Neue Datenschutzbedingungen bei Google: Der große Datenhaufen
       
       Google will wie Facebook werden: Für die Zentralisierung der Daten wirbt
       die Firma deshalb um das Einverständnis der Nutzer. Dagegen wehren können
       die sich nicht.
       
   DIR Netzwerk Google+: Nutzer einfach hinzugefügt
       
       Google vermeldete jüngst stolz, die Nutzerzahlen seines Netzwerks Google+
       hätten sich verdoppelt. Das hängt womöglich mit einem Trick zusammen.