Gesundes Misstrauen
Herausgeber-Zertifikate unter Windows prüfen
Für die Sicherheit verschlüsselter Verbindungen, etwa beim Online-Banking, bürgen signierte Zertifikate. Doch unachtsame Rechner- oder Software-Hersteller reißen durch unsachgemäß ausgestellte Zertifikate immer mal wieder Sicherheitslücken auf. Es ist also sinnvoll, sich genauer anzusehen, wem das eigene Windows so alles vertraut.
Ob eine verschlüsselte Verbindung wirklich sicher ist, hängt zuallererst davon ab, ob man wirklich mit dem richtigen Gegenüber spricht. Denn die besten Krypto-Funktionen nützen nichts, wenn man dem Angreifer die Schlüssel frei Haus liefert. Ist es dem gelungen, sich als „Meine-Bank“ auszugeben, kann er meine Konto-Auszüge ohne Weiteres mitlesen.
Um das zu verhindern, muss sich das Gegenüber mit einem Zertifikat ausweisen. Dessen Echtheit bestätigt dessen Herausgeber, die Zertifizierungsstelle oder Certification Authority (CA). Jedes System kennt eine ganze Reihe solcher CAs; Windows etwa vertraut aktuell ganzen 339 Zertifizierungsstellen.
Um verschlüsselt übertragene Daten mitzulesen, knackt man in der Praxis nicht etwa die Verschlüsselung. Viel einfacher ist es, sich eine eigene Zertifizierungsstelle zu bauen und Windows beizubringen, dass es der gefälligst zu vertrauen hat. Das macht etwa der Online-Banking-Trojaner Retefe, der mit dem Kommandozeilen-Befehl
certutil -addstore -f -user ROOT cert512121.der
ein vorgebliches Thawte-Zertifikat installiert. Das ist anhand der Eckdaten wie dem Namen nicht von den echten zu unterscheiden. Parallel dazu trägt Retefe einen von den Betrügern kontrollierten DNS-Server ein. Damit können sie den kompletten Internet-Verkehr des Systems mitlesen und bei Bedarf dann auch passend manipulieren. Trotz scheinbar intakter Verschlüsselung leiten die Kriminellen etwa Überweisungen um oder installieren im Rahmen eines Updates weitere Schad-Software.
Doch auch ganz legitime Software installiert oft eigene CA-Zertifikate. Antiviren-Wächter etwa, die damit TLS-verschlüsselte Downloads beziehungsweise Webseiten abfangen, analysieren und blockieren wollen, bevor sie Schaden anrichten können. Das ist erst mal gut gemeint.
