[English]Gestern hatte ich im Beitrag Lenovo Geräte mit Superfish-Adware verseucht über eine Adware auf Lenovo-Geräten berichtet, die gleich ihr eigenes SSL-Zertifikat installiert. Im Blog-Beitrag Extracting the SuperFish certificate analysiert jemand das Zertifikat der Firma Komodia. Nun stellt sich heraus, dass das Zertifikat praktisch überall auf Rechnern installiert ist.
Anzeige
Einen entsprechenden Artikel habe ich bei Marc's Security Ramblings nach einem Hinweis hier gefunden. Marc gibt an, dass die Firma Komodia (www.komodia.com, URL: http://www.komodia.com/products/komodias-ssl-decoderdigestor) mit einem SSL-Decoder dahinter stecke. Das Abrufen der obigen URL führt aber nicht mehr weiter, da der Betreiber die Site offline genommen hat.
Hier ist aber noch eine Seite im web-Archive zu finden. Die Seite erklärt, was Komodia mit dem SSL-Decoder/Digestor bezweckt:
»Komodia » Komodia's SSL Decoder/Digestor
Our advanced SSL hijacker SDK is a brand new technology that allows you to access data that was encrypted using SSL and perform on the fly SSL decryption. The hijacker uses Komodia's Redirector platform to allow you easy access to the data and the ability to modify, redirect, block, and record the data without triggering the target browser's certification warning.
This unique technology opens the door to number of exciting possibilities:
- Parental control: Filter SSL data based on keywords and URI – unlike current SSL filtering, which is based on IPs.
- Secure anonymizer: strip data revealing information from SSL traffic.
- Spam filtering: Filter encrypted Outlook mail sessions.
- Traffic monitoring: Track surfing activities containing encrypted data (Current tracking products can only report IPs.)
- Stream sniffing: Sniff encrypted network activity.
Die Jungs wollen also ganz klar alles, was SSL-verschlüsselt ist, überwachen, protokollieren und decodieren können. Dazu bieten sie einen Hijacker SDK an. Auf der momentan nur über Web-Caches oder –Archive abrufbaren Seite erklären die Macher, wie das funktioniert. Hier ein Screenshot der betreffenden Seite.
Die Webseitenanfragen des Browsers (IE) werden über den Komodia SSL Hijacker zum Komodia Redirector umgeleitet. Diese Komponenten zeichnen die Anforderungen auf und analysieren auch SSL verschlüsselte Daten. Hier die Original Werbeaussagen:
- Internet explorer connects to a web server on port 443 using SSL. The data is encrypted.
- Komodia's SSL hijacker intercepts the communication and redirects it to Komodia's Redirector. The channel between the SSL hijacker and the Redirector is encrypted.
- At this stage, Komodia's Redirector can shape the traffic, block it, or redirect it to another website.
- Communication between the Redirector and the website is encrypted using SSL.
- All data received from the website can be again modified and/or blocked. When data manipulation is done, it is forwarded again to Internet explorer.
- The browser displays the SSL lock, and the session will not display any "Certificate warnings".
Wer also Zugriff auf den Komodia Redirector bekommt, kann mit den Daten alles machen, die Kommunikation auf Malwareseiten umleiten, die Inhalt auslesen, den Abruf bestimmter Webseiten blockieren und auch Werbung einblenden. Und der Benutzer bekommt davon nichts mit, weil der Browser die grüne https-Sicherheitsanzeige einblendet und vom Man-in-the-middle-Angriff nichts ahnt.
Anzeige
Dazu muss aber das SSL-Zertifikat auf den Rechnern installiert werden. Marc hat nun in seinem Blog-Beitrag ein wenig unter die Decke geschaut und erschreckendes festgestellt. Wie er ausführt, scheint das Framework des Komodia SSL Hijacker in vielen Produkten zum Einsatz zu kommen. Er hat folgende Produkte gefunden:
- Komodias "Keep My Family Secure" Parental Control Software.
- Qustodios Parental Control Software
- Kurupira Webfilter
Alle benutzen das gleiche SSL-Zertifikat, dessen Passwort komodia lautet (siehe Extracting the SuperFish certificate). Bedeutet also: In jedem Produkt, welches Komodia-Komponenten enthält, dürfte durch das gleiche Kit 'infiziert' sein. Es ist also nicht "ein wenig Lenovo Bing Bullshit", was schlimm genug ist. Sondern das Problem zieht weite Kreise.
Ob ihr betroffen seid, könnt ihr auf dieser Webseite testen (geht nicht für Firefox, da diese eigene Zertifikate verwenden). Angesichts der aktuellen Entwicklung frage ich mich a) was kannst Du im Internet eigentlich noch an sicherer Kommunikation für vertrauliche/abgesicherte Transaktionen voraussetzen? Antwort: nichts. Und die Frage b) die ich anschließen möchte: Was ist von Googles Entscheidung, zukünftig im Google Chrome nur noch https-Verbindungen zu präferieren und http-Verbindungen im Browser als unsicher zu markieren, zu halten? Antwort: nichts. Das Internet ist also kaputt – endgültig. Schönen Freitag.
Update: heise.de weist nun in diesem Artikel darauf hin, dass mit dem Bekanntwerden des Kennworts jeder eigene Zertifikate vom Komodia-Zertifikat ableiten kann und damit alles wie ein Scheunentor offen steht.
Update 1: Das US-CERT hat die folgende Liste betroffener Produkte veröffentlicht.
| Vendor | Status | Date Notified | Date Updated |
|---|---|---|---|
| Atom Security, Inc | Affected | 20 Feb 2015 | 20 Feb 2015 |
| KeepMyFamilySecure | Affected | 19 Feb 2015 | 20 Feb 2015 |
| Komodia | Affected | 19 Feb 2015 | 20 Feb 2015 |
| Kurupira | Affected | – | 20 Feb 2015 |
| Lavasoft | Affected | 20 Feb 2015 | 20 Feb 2015 |
| Lenovo | Affected | 19 Feb 2015 | 20 Feb 2015 |
| Qustodio | Affected | 19 Feb 2015 | 20 Feb 2015 |
| Superfish | Affected | 19 Feb 2015 | 20 Feb 2015 |
| Websecure Ltd | Affected | 20 Feb 2015 | 20 Feb 2015 |
2015
Pingback: Komodia SSL certificates and hijacking tech are widely spread | Born's Tech and Windows World
Pingback: Superfish arbeitet mit Komodia: HTTPS-Killer bedroht viele Computer – n-tv.de | Aktuelles aus Wissenschaft und Gesellschaft
Eine schöne Beschreibung von Superfish und der Zertifikate-Problematik findet sich auch im Sophos-Blog.
Pingback: LENOVO: Sicherheitsloch vom Hersteller einbaut