Original-URL des Artikels: https://www.golem.de/news/mozilla-tls-zertifikate-von-der-spionagefirma-aus-den-emiraten-1902-139614.html    Veröffentlicht: 25.02.2019 13:00    Kurz-URL: https://glm.io/139614

Dark Matter

TLS-Zertifikate von der Spionagefirma aus den Emiraten

Die Firma Dark Matter aus den Vereinigten Arabischen Emiraten betreibt eine TLS-Zertifizierungsstelle. Laut einem Reuters-Bericht ist Dark Matter daran beteiligt, im staatlichen Auftrag Menschenrechtsaktivisten mit Hilfe von Sicherheitslücken anzugreifen.

Eine Firma aus den Vereinigten Arabischen Emiraten namens Dark Matter, die im Auftrag der dortigen Regierung Hackingoperationen durchführt und dabei auch auf Menschenrechtsaktivisten abzielt, betreibt eine Zertifizierungsstelle für TLS-Zertifikate. Nach außen stellt sich Dark Matter als Firma dar, die Sicherheitshardware verkauft, doch das ist offenbar zumindest teilweise Tarnung für die eigentliche Tätigkeit der Firma. Für Mozilla und andere Browserhersteller stellt sich nun die Frage, wie sie damit umgehen.

Einer größeren Öffentlichkeit bekannt wurde die Arbeit von Dark Matter durch einen Bericht der Nachrichtenagentur Reuters. Demnach hat eine Gruppe von ehemaligen NSA-Angestellten jahrelang für eine Operation namens Project Raven für Dark Matter gearbeitet. Dark Matter war dabei laut dem Reuters-Bericht in der Lage, mit Hilfe von Zero-Day-Sicherheitslücken iPhones anzugreifen und zu kontrollieren.

Ehemalige NSA-Mitarbeiter spionierten Menschenrechtsaktivisten aus

Project Raven hatte dabei auch Menschenrechtsaktivisten im Visier, darunter den inzwischen zu zehn Jahren Haft verurteilten Ahmed Mansoor. Der Reuters-Bericht basiert vor allem auf Aussagen der ehemaligen NSA-Mitarbeiterin Lori Stroud. Diese hatte allerdings mit den Menschenrechtsverletzungen weniger Probleme. Sie verließ Project Raven und wandte sich später an die Presse, weil sie mitbekam, dass Project Raven auch Personen aus den USA ausspionierte.

Der Reuters-Bericht hat Dark Matter ins Rampenlicht geholt, doch bekannt war die Spionagetätigkeit der Firma schon vorher. So berichtete der Sicherheitsexperte Simone Margaritelli bereits 2016 in einem Blogpost darüber, wie man versucht hat, ihn für Operationen in den Vereinigten Arabischen Emiraten anzuwerben, dabei war der CEO von Dark Matter, Faisal Al Bannai, involviert.

Dark Matter hat nun vor einiger Zeit bei Mozilla die Aufnahme in die Liste der vertrauenswürdigen Zertifizierungsstellen beantragt. Jeder Browser kommt mit einer Liste von Zertifikaten solcher Root-Zertifizierungsstellen. Jedes Webseitenzertifikat wird daraufhin geprüft, ob es von einer dieser Zertifizierungsstellen signiert wurde.

Eine Firma, deren Zertifikat dort eingetragen ist, ist damit in der Lage, unberechtigt Zertifikate für fremde Webseiten auszustellen. Es gab in den vergangenen Jahren eine Reihe von Maßnahmen, um den Missbrauch von Zertifikaten einzudämmen und mehr Transparenz in der Branche herzustellen, doch völlig verhindern lassen sich solche Angriffe nicht.

Amnesty-Mitarbeiter und EFF fordern Vertrauensentzug für Dark Matter

Claudio Guarnieri, ein IT-Sicherheitsexperte, der für Amnesty International arbeitet, hat am 20. Februar 2019 auf Twitter auf diesen Aufnahmeantrag hingewiesen. Die Electronic Frontier Foundation hat daraufhin in einem Blogpost Mozilla dazu aufgerufen, Dark Matter nicht zu vertrauen.

Der EFF-Blogpost wies weiterhin darauf hin, dass Dark Matter bereits jetzt ein gültiges Zwischenzertifikat hat. Die Firma Quovadis, eine kleine Zertifizierungsstelle, die vor kurzem von Digicert gekauft wurde, hat dieses Zwischenzertifikat von Dark Matter signiert, Dark Matter ist also bereits jetzt in der Lage, Zertifikate für Webseiten auszustellen.

Mozilla in Zugzwang

Wayne Thayer, der bei Mozilla für die Liste der Root-Zertifikate zuständig ist, hat daraufhin in einer E-Mail die Situation erläutert und die Community um Feedback gebeten. Mozilla könnte nicht nur den Antrag von Dark Matter auf Aufnahme in den Root-Store ablehnen, sondern auch das Zwischenzertifikat direkt im Firefox-Browser sperren.

Thayer deutete an, dass er zu dieser Option neigt: "Obwohl es keine direkten Belege für Falschausstellungen durch Dark Matter gibt, ist dies vielleicht ein Zeitpunkt, wo wir unser Ermessen nutzen sollten und im Interesse der Personen agieren, die auf unseren Root-Zertifikatsspeicher vertrauen."

Durch das Zwischenzertifikat von Quovadis werden die von Dark Matter ausgestellten Zertifikate auch von anderen Browsern akzeptiert. Von Google, Microsoft und Apple gibt es jedoch bislang keine Äußerungen zum Thema.

Dark-Matter-Mitarbeiter behauptet, die Firma arbeitet ausschließlich defensiv

In der Diskussion auf der Mozilla-Mailingliste äußerte sich Scott Rea, ein Mitarbeiter von Dark Matter. "Ich will versichern, dass Dark Matters Arbeit ausschließlich auf defensive Cybersicherheit, sichere Kommunikation und digitale Transformation fokussiert ist. Wir haben nie und werden nie nichtdefensive Cyberaktivitäten gegen Personen irgendeiner Nationalität durchführen."

Damit widerspricht Rea relativ direkt dem Bericht von Reuters und anderen ähnlichen Berichten. Glaubwürdig erscheint das kaum. Dark Matter hatte laut Reuters die Möglichkeit, zu dem Artikel vorab Stellung zu nehmen. Doch hätte man von dort keine Stellungnahme erhalten. Wäre der Reuters-Artikel komplett falsch, so hätte die Firma vermutlich in der Zwischenzeit deutlich und öffentlich widersprochen.

Auf der Mozilla-Mailingliste sprachen sich die meisten Teilnehmer für eine Sperre von Dark Matter und gegen eine Aufnahme in den Firefox-Browser aus. Teilweise nahm die Diskussion jedoch auch absurde Züge an. So diskutierten einige Personen, ob die Seriennummern der bisher von Dark Matter ausgestellten Zertifikate den Regeln des CA/Browser-Forums entsprechen.  (hab)


Verwandte Artikel:
Dark Matter: Kein gutes Ende in Sicht   
(22.10.2013, https://glm.io/102296 )
Amiga-Emulator: WinUAE Version 2.0 veröffentlicht   
(15.12.2009, https://glm.io/71890 )
Zensur: Vereinigte Arabische Emirate erlassen neues Internetgesetz   
(14.11.2012, https://glm.io/95716 )
Mozilla: Firefox blockiert ab Sommer 2019 alle Third-Party-Tracker   
(24.02.2019, https://glm.io/139588 )
Browser: Microsoft lässt nur Facebook auf Flash-Whitelist in Edge   
(21.02.2019, https://glm.io/139542 )

© 1997–2019 Golem.de, https://www.golem.de/