Facebooks Anmerkungen zum Superfish-Komodia-Ansatz und man-in-the-middle-Angriffe

Nachdem Lenovo mit Superfish die Woche in die Medienaufmerksamkeit geraten ist, gelangt auch die Technik des Abfangens von SSL-Datenströmen durch SSL-Zertifkate von Komodia in den Fokus. Jetzt bin ich auf ein ganz interessantes Dokument eines Mitarbeiters aus dem Facebook Sicherheitsteam gestoßen. Und bei Filippo.io gibt es auch neue Infos.


Anzeige

Unter dem Titel Windows SSL Interception Gone Wild hat Matt Richard, ein Threats Researcher im Facebook Security Team einige interessante Sachen zusammen geschrieben (danke an Kristian Köhntopp für den Link auf Google+). So schreibt Matt ganz richtig, dass es nicht ungewöhnlich sei, dass Systeme mit vorinstallierter Software ausgeliefert würden. Der Unterschied bei Superfish ist aber die Komodia-Bibliothek, die benutzt wird, um über ein installiertes Root-Zertifikat SSL-Verbindungen mitzulesen.

Im Beitrag wird darauf hingewiesen, dass diese Technik bei Antiviren-Herstellern standardmäßig genutzt wird/werden muss, um die Daten auf Schadsoftware zu filtern. Es wird aber auch darauf hingewiesen, dass sich das von Komodia verwendete Root-Zertifikat, welches auf vielen Rechnern liegt, durch Kriminelle missbrauchen ließe. Man könne z.B. in einem öffentlichen WiFi einen man-in-the-middle-Angriff ausführen und den Nutzern des Netzwerks gefälschte Webseiten unterjubeln. Selbst eine https-Verschlüsselung würde nichts darüber aussagen, ob die Verbindung sicher sein. Herausbekommen könnte man dies nur, wenn man die Zertifikatskette auswertet und die Zertifikatsaussteller verifiziert (was aber kein Benutzer macht und auch nicht machen kann – ich habe mal versucht, für ein Buchprojekt einen Weg zu beschreiben, wie man die Vertrauenswürdigkeit eines Zertifikatsausstellers als normaler Anwender verifiziert – bin da aber gescheitert).

Bereits 2012 hat Facebook mit der Carnegie Mellon University ein Projekt gestartet, um herauszufinden, wie verbreitet SSL man-in-the-middle-Techniken sind. Damals wurde ein Fall gefunden, wo mehrere Geräte zur “deep packet inspection” den gleichen privaten Schlüssel für das Zertifikat über verschiedene Geräte benutzten. Bei Superfish hat das eine neue Qualität erreicht, ist das Zertifikat doch auf vielen Windows-Rechnern gelandet. Interessant sind auch die Zahlen: 70% der Betroffenen nutzten Google Chrome, 27 % waren mit dem Internet Explorer unterwegs und 3% nutzen Opera. Firefox-Nutzer waren kaum dabei, da der Browser seine eigenen Zertifikate verwendet. Im Facebook-Artikel werden dann einige weitere Produkte aufgeführt, die die Komodia-Bibliotheken verwenden. Wie Matt schreibt, ist bei einer Menge dieser Anwendungen Misstrauen angebracht. Denn die Namen der Anwendungen tauchen in Foren auf, die sich mit Adware befassen. Gibt man den Namen der Anwendung in Verbindung mit VirusTotal ein, tauchen die betreffenden Anwendungen samt den Komodia-DLLs als Treffer auf.

Ob die Anwendungen nun bewusst auf Ad- oder Malware getrimmt sind, ist laut dem Facebook-Bericht nicht relevant. Vielmehr zählt die Tatsache, dass durch die Installation dieser Software samt den Komodia-Root-Zertifikaten eine Menge Systeme potentiell unsicherer werden. Interessant ist für mich auch die Aussage, dass eine Reihe dieser Bibliotheken für den Einsatz ab Windows 8 entworfen wurden und auf älteren Windows-Varianten nicht laufen. Matt schreibt, dass Facebook mit Antivirus-Firmen zusammen arbeitet, um solche Fälle von Malware-Infektionen zu erkennen, sobald Nutzer Facebook-Seiten besuchen. Ich kann mir nur vorstellen, dass Facebook versucht, die Malware zu detektieren und die Funde an die Antiviren-Hersteller weiterleitet. Diese können dann über ihre Virensignaturen reagieren. Hier findet sich die Facebook-Seite zum Thema Sicherheit.

So könnte die ganze Superfish-Geschichte am Ende des Tages noch ein Gutes haben: Das Thema ist in den Fokus der Community geraten und möglicherweise werfen ein paar Leute aus der Entwicklergilde einen zweiten Blick auf diverse Produkte und Bibliotheken.

Komodia hebelt Zertifkatsprüfung aus

Neues gibt es auch in diesem Blog. Der Sicherheitsforscher, der das Kennwort für das Komodia-Zertifikat herausgefunden hat, legt jetzt nach. Offenbar kann man beliebige selbst erstellte Zertifikate registrieren, wenn das Komodia-Zertifkat und der betreffende Proxy aktiv ist. Sprich: Sobald Komodia-Software auf dem Windows-System vorhanden ist, ist die Zertifikatsprüfung wirkungslos.

Update: Eine schöne Zusammenfassung des Ganzen kann man bei Golem nachlesen. Eine schöne (englischsprachige) Beschreibung von Superfish und der Zertifikate-Problematik findet sich auch im Sophos-Blog. Ein weiterer Beitrag zur Lektüre empfohlen, findet sich hier.


Anzeige

Ähnliche Artikel:
Lenovo Geräte mit Superfish-Adware verseucht
Komodia SSL-Zertifikate faktisch überall – Teil V
Bericht der Facebook-Sicherheitsleute zu Superfish


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.