GoGo Inflight Internet gibt Fake-SSL-Zertifikate aus

SicherheitHeute noch ein Beitrag aus der Mottenkiste der Sicherheitsprobleme. Es geht um gefälschte Sicherheitszertifikate eines Internetanbieters (GoGo Inflight Internet), die die Überwachung des Nutzers auf Flügen ermöglichen.


Anzeige

Die US-Firma GoGo Inc. wurde 2008 gegründet und ist ein Betreiber von Kommunikationsdienstleistungen (GoGo Inflight Internet) an Bord von Flugzeugen. So weit so gut – wenn Du also fliegst und GoGo Inc dir Internet bereitstellst, gehst Du davon aus, dass da alles “sauber” ist. Wenn der Anbieter dir einen SSL-Verschlüsselung anbietet, umso besser …

… kleiner Cut: Ich erinnere mich an an Buchprojekt, wo ich für die Zielgruppe 50Plus das Thema Internet aufbereitet habe. Ein Abschnitt befasste sich mit abgesicherten Internetverbindungen mittels https-Verbindungen. Ich habe gezeigt, wie man sieht, ob eine https-Verbindung besteht und wie man den Zertifikatsanbieter anzeigen kann. Prompt kam vom Fachlektor die Replik: “Wie überprüfe ich denn die Vertrauenswürdigkeit des Zertifikatshalters und des Zertifikatsausstellers?”. Seinerzeit habe ich noch kurzzeitig eine Internetseite ausfindig machen können, die Zertifikatsaussteller bewertet. Aber diese Seite war nach wenigen Monaten wieder verschwunden – und angesichts NSA, geklauter Zertifikate, Hacks bei Zertifikatausstellern und Co. kannst Du eigentlich niemandem mehr trauen.

GoGoInternet(Source: Twitter)

Zurück zum Thema:  Am 2. Januar gab es diesen Tweet von Adrienne Porter Felt (@__apf__), ein Mitglied des Google Chrome Sicherheitsteams. Porter Felt war laut neowin.net bei einem Flug aufgefallen, dass dort SSL-Zertifikate für Internetverbindungen ausgegeben wurden, die von GoGo stammen. Das Pikante an der Sache: Wenn Du beispielsweise eine Google-Seite besuchst und deren Inhalte per https abrufen möchtest, sollte das Zertifikat vom Seitenbetreiber oder dessen Zertifikatsstellen stammen.

Gogo Inflight Internet gibt also offensichtlich gefakte SSL-Zertifikate im Flugzeug für Internetverbindungen aus. Surft der Benutzer dann vermeintlich über eine sichere SSL-Verbindung, kann der Zertifikatsaussteller die Kommunikation mitlesen. Vertrauliche Informationen wie Kreditkartendaten, Zugangsdaten für Konten etc. liegen für GoGo offen. Neowin.net schreibt zwar “aus welchen Gründen auch immer” – aber für mich liegt das Ganze ziemlich klar auf dem Tablet: Die US Geheimdienste haben einen gewissen Aufwand, SSL verschlüsselte Verbindungen zu knacken. Wenn man jetzt über GoGo Inflight Internet durch Man in the Middle-Angriffe (MITM) alle Internetverbindungen, egal ob per http oder per https, abhören und entschlüsseln kann, entfällt eine Menge Aufwand. Und Industriespionage stünde dann auch alles offen.

Nur zur Hintergrundinformation: Die Firma GoGo Inc. ist für nationale US Fluggesellschaften, aber auch für internationale Fluglinien wie Aeromexico, American Airlines, Air Canada, Japan Airlines, Virgin Atlantic etc. aktiv. Laut Eigenauskunft des Unternehmens hat man jährlich 200 Millionen Kunden, die Internetverbindungen von Gogo Inflight nutzen. Laut diesem Dokument arbeitet Gogo LLC eng mit US-Behörden zusammen, um Anforderungen im Hinblick auf die öffentliche und nationale Sicherheit zu erfüllen. Der Vollständigkeit halber weise ich aber auf die Twitter-Diskussion hin, wo zumindest “Leistungsoptimierung” als Grund angebeben wird. Aber mal so gesagt: “Wenn man das Angenehme mit dem Nützlichen verbinden kann”, bleibt schon ein arges Geschmäckle, wie die Schwaben sagen. Daher: Finger weg vom Internet auf Flügen, wenn nicht klar ist, wie ssl-Verbindungen abgesichert und zertifiziert werden.

Für Geschäftsreisende und Privatleute, die auf Reisen https-Verbindungen verwenden (müssen), um vertrauliche Daten per Internet zu übertragen, sollten die Zertifikate doppelt und dreifach prüfen. Ich bin mir nämlich nicht mehr sicher, ob dieser Fall nicht die Spitze eines Eisbergs ist. Dass man bei Geschäftsreisen in die USA keine kritischen Informationen auf USB-Sticks, Notebooks oder anderem elektronischen Gerät mitführt, dürfte sich in Unternehmenskreisen herumgesprochen haben. 


Anzeige


Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu GoGo Inflight Internet gibt Fake-SSL-Zertifikate aus


  1. Anzeige
  2. Pingback: Anonymous

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.