Festgenommen hat die Polizei einen 18 Jahre alten Mann aus Ginsheim-Gustavsburg, der im Verdacht steht, am Montag den 28.12.2011 gegen 23 Uhr auf dem Goddelauer Bahnhof eine 26 Jahre Frau in einer S-Bahn vergewaltigt zu haben. Die Tat geschah nach Mitteilung der Polizei, nachdem die Bahn gestoppt hatte. Der Lokführer war der Frau, die ebenfalls als Fahrgast unterwegs war, zu Hilfe gekommen und hatte die Polizei verständigt. Die fahndete mit mehreren Streifen, einem Polizeihund und unterstützt von einem Hubschrauber nach dem 18-Jährigen, der zu Fuß geflüchtet war. Polizeihund Derius stellte den Tatverdächtigen schließlich wenige hundert Meter vom Bahnhof entfernt. Der wegen Gewaltdelikten polizeibekannte Mann trug dabei Bissverletzungen davon.
Wie die Polizei am Mittwoch mitteilt, sitzt der Achtzehnjährige inzwischen in Untersuchungshaft. Ein Ermittlungsrichter hatte am Montagnachmittag gegen den Tatverdächtigen auf Antrag der Staatsanwaltschaft Darmstadt die Haft angeordnet.

Bei dem im September gemeldeten Hackerangriff auf die Zertifizierungsstelle (Certificate Authority, CA) GlobalSign wurden keine Zertifikate missbräuchlich ausgestellt, wie aus dem jetzt veröffentlichten Untersuchungsbericht hervorgeht. Der Angreifer hatte demnach lediglich Zugriff auf einen Webserver des Unternehmens, der sich an einem anderen Ort als die kritische CA-Infrastruktur befindet und nicht mit ihr verbunden ist.

Lediglich den privaten Schlüssel des auf www.globalsign.com ausgestellten SSL-Zertifikates konnte der Angreifer erbeuten – neben den ohnehin öffentlich zugänglichen Inhalten. Das Zertifikat wurde daraufhin von der CA für ungültig erklärt.

Dies deckt sich mit der Stellungnahme, die GlobalSign kurz nach dem Entdecken des Einbruchs veröffentlicht hatte. Im Rahmen der Untersuchung hat die CA unter anderem das Sicherheitsunternehmen Fox-IT zu Rate gezogen, das schon den Einbruch bei der niederländischen Zertifizierungsstelle DigiNotar analysiert hat. Im Fall DigiNotar gelang es dem Hacker, gültige Zertifikate für prominente Domains wie Google.com auszustellen. Er hatte behauptet, weitere CAs unter seiner Kontrolle zu haben.

Möglicherweise eine Reaktion auf Diskussionen über Zuverlässigkeit, Sicherheit und Datenschutz bei Cloud-Diensten ist das jetzt vom TÜV Austria vorgestellte und an Host Europe vergebene Zertifikat "Trusted Cloud". Dem Siegel liegt ein allgemeiner Anforderungskatalog zugrunde. Er definiert unter anderem Bedingungen, die Organisation, Betrieb, Datenschutz, physische Sicherheit und Infrastruktur des Cloud-Anbieters genügen müssen.

Wie diese Kriterien konkret kontrolliert werden, regelt ein Prüfkatalog, der an aktuelle Entwicklungen angepasst wird. Beide Dokumente sind nicht öffentlich zugänglich, den Anforderungskatalog bekam heise online jedoch auf Nachfrage von TÜV Austria zur Verfügung gestellt.

Im Wesentlichen geht es bei der Erteilung des Zertifikats um die Überprüfung definierter Abläufe und Prozesse, etwa für Backups und die Kapazitätsverwaltung. Außerdem wurde das System stichprobenartig etwa hinsichtlich der Server-Konfiguration untersucht. Ein weiterer Prüfpunkt des Audits waren Penetrationstests, die Host Europe zurzeit von einer externen Firma durchführen lässt. Details zu den Sicherheitskonzepten des Cloud-Anbieters enthält ein PDF-Dokument.

Dem Chaos Computer Club (CCC) ist nach eigenen Angaben die staatliche Spionagesoftware zugespielt worden, die allgemein unter dem Begriff "Bundestrojaner" oder in bundeslandspezifischen Versionen beispielsweise auch als "Bayerntrojaner" bekannt wurde. Der Staatstrojaner dient Ermittlern in Deutschland derzeit zur sogenannten Quellen-TKÜ (Quellen-Telekommunikationsüberwachung), um Voice-over-IP-Gespräche schon vor ihrer Verschlüsselung beim Sender oder nach der Entschlüsselung beim Empfänger abhören zu können.

"Die untersuchten Trojaner können nicht nur höchst intime Daten ausleiten, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware", heißt es vom CCC. "Aufgrund von groben Design- und Implementierungsfehlern entstehen außerdem eklatante Sicherheitslücken in den infiltrierten Rechnern, die auch Dritte ausnutzen können", wirft der CCC den Ermittlungsbehörden vor.

Für Diskussionen sorgt derzeit ein Hinweisbeschluss, den das Oberlandesgericht Köln in einem Verfahren (AZ: 6 U 67/11) rund um eine Abmahnung für Filesharing erlassen hat. Der Beschluss deutet an, dass das OLG seine bisherige Einschätzung über die Berechnung des Schadens revidiert hat, die dem Rechteinhaber durch Filesharing entsteht. Die daraus resultierende Neubewertung könnte erheblichen Einfluss auf weitere Verfahren in diesem Bereich haben.

Bisher wurde von Abmahnern und Gerichten meist der Tarif VR-W I der Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA) für die Bemessung des Schadenersatzanspruchs in Filesharing-Fällen zugrunde gelegt. Dieser umfasst die Nutzung von Musikwerken als Hintergrundmusik insbesondere im Bereich der Werbung, die als Streaming zur Verfügung gestellt wird. Als Mindestlizenz ist nach diesem Tarif eine Zahlung in Höhe von 100 € für bis zu 10.000 Abrufe zu leisten.

Nach Ansicht der Richter entspricht dieser Tarif jedoch nicht den tatsächlichen Begebenheiten bei Filesharing. Vielmehr gehe es darum, einen Schaden abzugelten, der den Rechteinhabern dadurch entsteht, dass geschützte Werke "in unbekannter Zahl zum Download zur Verfügung gestellt worden sind". Aus Sicht des Senats entspreche diese Handlung nicht dem bisherigen Tarif VR-W I, sondern dem Tarif VR-OD 5, der die Nutzung einzelner Titel auch durch Download zum Gegenstand hat. Statt einer Mindestsumme von 100 € sieht dieser Tarif pro Titel und pro erfolgtem Zugriff einen Betrag in Höhe von 0,1278 € vor.

Wissenschaftler der Ruhr-Universität Bochum haben es geschafft, den Schlüssel von RFID-Karten eines bestimmten Modells zu kopieren. Für die Zugangskontrolle oder zu Abrechnungszwecken eingesetzte RFID-Karten sollen nicht nur bequem, sondern vor allem sicher sein: Doch könnten Angreifer eine kopierte Karte leicht missbrauchen.

David Oswald und Christof Paar ist es gelungen (PDF), die 3DES-Schlüssel von Karten des Typs DESFire MF3ICD40 auszulesen. Diese Karten stammen von Mifare, einem Tochterunternehmen von NXP Semiconductors. Sie werden unter anderem von Verkehrsbetrieben in der Tschechischen Republik, Melbourne und San Francisco verwendet. Bereits vor drei Jahren hatten Hacker eine andere RFID-Karte dieses Herstellers entschlüsselt, die im niederländischen Nahverkehr eingesetzt wurde.

Möglich wurde der jetzige Schlüsselklau durch eine Seitenkanalattacke, die die gegen solche Angriffe auf der Karte vorgesehenen Schutzmaßnahmen umging. Dazu maßen die Wissenschaftler wiederholt den Stromverbrauch beim Ver- und Entschlüsseln. Er lässt sich aus Veränderungen des Magnetfelds in der Nähe der Karte ermitteln.

Nach Angaben von Oswald und Paar sind die Mifare-Karten mit AES-Verschlüsselung vor dem von ihnen beschriebenen Angriff sicher. Der Hersteller hat die Lücke bestätigt und empfiehlt seinen Kunden den Umstieg auf ein aktuelles Modell. (ck)

Die beiden Lenker von RSA, Art Coviello (Chairman) und Tom Heiser (President), nutzten ihre jeweiligen Eröffnungsansprachen zur RSA Conference in London, um Einzelheiten der Angriffe im März zu erläutern. Coviello sagte, dass es sich beim Angreifer um einen Staat handeln müsse. Der Angriff sei zu ausgefuchst, als dass andere Angreifer in Frage kämen. Es lägen aber nicht genügend Belege vor, um einen bestimmten Staat auszumachen. Außerdem sei man auf zwei verschiedene Gruppen gestoßen, die hinter dem Angriff stecken. Beide Gruppen waren den Ermittlungsbehörden zuvor bekannt gewesen – aber nicht, dass sie zusammen arbeiten.

Klar wurde auch, dass RSA nicht das eigentliche Ziel der Angriffe war. Vielmehr ging es darum, die gestohlenen Infos für weitere Attacken auf andere Unternehmen zu nutzen. Coviello besteht weiterhin darauf, dass kein erfolgreicher Angriff mit den geklauten RSA-Daten möglich gewesen sei. Der Angriff auf Lockheed-Martin war wohl eine Folge des RSA-Hacks, wurde aber rechtzeitig abgewendet. Welche Art Information bei RSA ausgespäht wurden, wollten die RSA-Manager mit Verweis auf die andauernden Ermittlungen nicht verraten. Coviello sagte nur zum wiederholten Mal, dass lediglich Teile der Informationen rund um SecurID das Unternehmen verließen. Dennoch tauschte das Unternehmen im Juni Tokens bei Kunden aus.

RSA selbst wurde sehr wahrscheinlich durch eine gezielte Phishing-Attacke auf einen Mitarbeiter in der Personalabteilung gehackt. Im Anhang einer E-Mail war eine Excel-Tabelle, die wiederum eine Zero-Day-Lücke in Adobe Flash missbrauchte. Diese Informationen bestätigt RSA offiziell jedoch nicht. Bekannt wurde aber, dass die verwendete Schadsoftware erst wenige Stunden vor dem Angriff kompiliert wurde und bislang nicht gekannte Techniken zum Komprimieren und Verschlüsseln der geklauten Daten verwendete.

Der niederländische Zertifikatsherausgeber DigiNotar wird nach dem SSL-Debakel von seinem Eigner Vasco liquidiert. Das teilte Vasco in einer Stellungnahme mit. Man habe Insolvenz für das Unternehmen in den Niederlanden angemeldet.

Zuvor hatte die niederländische Regierung bereits die Kontrolle über DigiNotar übernommen, unter anderem auch, um weiteren Schaden von der niederländischen PKI "PKIoverheid" abzuwenden. Daneben hatte die niederländische Aufsichtsbehörde für Telekommunikation (OPTA) der Zertifizierungsstelle das Ausstellen weiterer qualifizierter Zertifikate untersagt, und sämtliche Browser-Hersteller hatten die Wurzelzertifikate aus ihren Produkten verbannt.

Damit ist nach gerade einmal drei Wochen seit Bekanntwerden des CA-Hacks das Unternehmen, dass nicht nur Server von Kunden sichern sollte und für den Staat der Niederlande ein wichtiges Trustcenter betrieb, de facto aufgelöst. Vasco bietet selbst 2-Faktor-Authentifizierungslösungen an, betont jedoch, dass die eigenen Systeme von der DigiNotar-Kompromittierung nicht betroffen sind. (dab)

Anhand der von einem intelligenten Stromzähler gelieferten Stromverbrauchsdaten ist es möglich, auf das auf einem typischen TV-Gerät angezeigte Fernsehprogramm zu schließen, da Fernseher je nach angezeigtem Bild unterschiedlichen Strombedarf haben. Das haben Forscher der FH Münster im Rahmen des vom Bund geförderten Projekts DaPriM (Data Privacy Management) in Versuchen herausgefunden. Dabei ist es über die Auswertung des Verbrauchsmusters prinzipiell auch machbar, einen etwa von DVD oder anderen Quellen abgespielten Film zu identifizieren.

Die niederländische Aufsichtsbehörde für Telekommunikation (OPTA) hat der Zertifizierungsstelle DigiNotar das Ausstellen weiterer qualifizierter Zertifikate untersagt. Bereits ausgestellte Zertifikate müssen für ungültig erklärt werden. Qualifizierte Zertifikate werden etwa im behördlichen Umfeld zum rechtsverbindlichen Signieren genutzt, sind also gleichbedeutend mit einer Unterschrift. Laut OPTA kann die Zuverlässigkeit der von DigiNotar ausgestellten Zertifikate nicht länger garantiert werden.

Der Zertifikatsaussteller GlobalSign hat nach einer Woche Pause seine Arbeit wieder aufgenommen. Bei der Untersuchungen der System habe sich herausgestellt, dass der Webserver des Unternehmens kompromittiert wurde. Hinweise für Einbrüche in die CA-Systeme habe es jedoch nicht gegeben. Gleichwohl bedeutet dies nicht, dass es keinen Einbruch gegeben hat.

Derweil diskutieren Sicherheitsspezialisten um die Glaubwürdigkeit der Angaben des DigiNotar-Hackers, er könne sich Zertifikate für Microsofts Windows-Update ausstellen. Microsoft hatte bereits vergangene Woche betont, dass Updates mit einem Wurzelzertifikat einer eigenen, nicht öffentlichen CA beglaubigt seien. Da der Hacker dafür keine Zertifikate ausstellen könne, sei das Unterschieben von manipulierten Updates nicht möglich.

Diese Aussage unterstützt der Sichereitsspezialist Dan Kaminsky. Demnach prüfe Windows Update nicht nur, ob eine Signatur eines Updates zu irgendeinem Wurzelzertifikat passe und damit gültig sei (WinVerifyTrust). Vielmehr prüfe Windows zusätzlich, ob es zu einem von Microsoft herausgegebenem Zertifikat passe (CertVerifyCertificateChainPolicy mit Parameter CERT_CHAIN_POLICY_MICROSOFT_ROOT). Eine ähnliche Funktion enthält auch Googles Browser Chrome, der bei Logins auf Google-Seiten nicht nur die Gültigkeit des SSL-Zertifikats prüft, sondern auch, ob sie von einem zugelassenen Aussteller (Thawte und andere) stammen.

Erst diese Funktion führte überhaupt dazu, dass das falsche Google-Zertifikat und der Hack von DigiNotar aufflogen. Hätte der Angreifer sich nur Zertifikate für Yahoo, Facebook und das Torprojekt ausgestellt, wäre das Problem vermutlich erst viel später aufgefallen. (dab)

Als Folge des DigiNotar-Hacks stellt die Firma GlobalSign seit vergangenen Dienstag keine Zertifikate mehr aus, weil sie zunächst ihre Systeme prüft. Ein bislang Unbekannter hatte behauptet, auch die Certification Authority (CA) gehackt zu haben. Bislang konnte GlobalSign aber nur Beweise für einen Einbruch in den Webserver finden, auf dem die Site www.globalsign.com läuft. Dieser Server sei aber stets isoliert von allen anderen Systemen gelaufen, wie das Unternehmen betont. Man arbeite weiterhin daran, die normale Arbeit wieder aufzunehmen: Am morgigen Montag soll es weitergehen. (ciw)

Die Zertifizierungsstelle GlobalSign hat die Ausstellung von SSL-Zertifikaten vorübergehend eingestellt. Das teilte das Unternehmen am Dienstag in Boston (US-Bundesstaat Massachussetts) mit. Zuvor hatte ein Unbekannter behauptet, nach den Angriffen auf die Zertifizierungsstellen DigiNotar und Comodo die Kontrolle über drei weitere Certification Authorities (CA) erlangt zu haben und dabei GlobalSign genannt. Man nehme die Behauptung sehr ernst und führe gerade Ermittlungen durch, heißt es in der kurzgehaltenen Stellungnahme der Zertifizierungsstelle.

Unterdessen hat Microsoft das angekündigte Update für Windows XP und neuere Versionen veröffentlicht, das den Stammzertifikaten der kompromittierten DigiNotar-CA das Vertrauen entzieht und sie auf die Liste der nicht vertrauenswürdigen Herausgeber setzt. Von dem Patch profitieren vor allem Anwender von Windows XP und Server 2003, da Microsoft erst seit Vista automatisch eine Liste vertrauenswürdiger Stammzertifikate pflegt.

Das Update wird derzeit noch nicht über Windows Update verteilt, sondern muss von Hand installiert werden. [Update] Das Update wird bereits über Windows Update ausgeliefert. [/Update] Microsoft gab an, die Verteilung über Windows Update in den Niederlanden aufgrund einer Anfrage der niederländischen Regierung weiter hinauszögern zu wollen – es entfernt auch Stammzertifikate der für staatliche Zwecke genutzten CA PKIoverheid. Wer die Zertifikate von Hand löschen oder den Vorgang mittels des Kommandozeilentools certutil.exe automatisieren will, findet eine Anleitung bei Microsoft.

Die kritische Infrastruktur bei der kompromittierten Zertifizierungsstelle DigiNotar war unzureichend geschützt. Das geht aus dem Zwischenbericht (PDF) des Sicherheitsunternehmens Fox-IT hervor. Demnach standen die CA-Server zwar in einer sicheren Umgebung, waren jedoch über das Management-LAN erreichbar. Dadurch konnte sich der Angreifer wohl von außen zu den CA-Servern weiterhangeln. Die Server seien mit einem schwachen Passwort geschützt gewesen, das man leicht per Brute Force hätte knacken können.

Alle CA-Server waren dem Bericht zufolge Mitglied einer Windows-Domain, sodass der Angreifer mit den einmal erbeuteten Zugangsdaten auf sämtliche Server zugreifen konnte. Auf kritischen Servern entdeckten die Sicherheitsexperten Schadsoftware, die von gängiger Antivirensoftware mühelos erkannt wird – eine solche war auf den Systemen allerdings nicht installiert. Zudem war die Software auf den öffentlich zugänglichen Webservern laut dem Bericht veraltet.

Auf den kompromittierten Systemen fanden die Ermittler zudem neben ganz profanen Security-Tools wie Cain & Abel auch speziell für diesen Einsatz zugeschnittene Tools und Skripte. Das Skript, das der Hacker offenbar zur Signierung der falschen Zertifikate eingesetzt hat, nutzt ein spezielles API, das nur im Umfeld von CAs eingesetzt wird. In diesem Skript hat sich der Angreifer in englischer Sprache mit den Worten verewigt: "Ich weiß, dass euch mein Können schockiert. […] Es gibt keine Hardware oder Software auf dieser Welt, die meine heftigen Attacken stoppen kann."

Signiert ist das "Bekennerschreiben" mit den persischen Worten "Janam Fadaye Rahbar", was man mit "Ich opfere mich für den großen Führer" übersetzen kann. Diese Worte finden sich auch in dem Manifest, das schon der mutmaßliche Comodo-Hacker ins Netz gestellt hat. Ob es sich um dieselbe Person handelt oder eine Gruppe von Hackern den gleichen Spruch benutzt, ist unklar.

Der Zwischenbericht bestätigt die Zahl der 531 durch den Angreifer ausgestellten Zertifikate. Allerdings sei nicht auszuschließen, dass darüber hinaus bei dem Vorfall noch weitere Zertifikate ausgestellt wurden, da nach dem Einbruch Log-Dateien gelöscht wurden. Aus diesem Grund wurde laut Bericht auch das Google-Zertifikat nach der ersten Analyse des Einbruchs nicht zurückgerufen – DigiNotar wusste schlicht und ergreifend nicht von dessen Existenz.

.....

[Update]Der mutmaßliche Comodo- und DigiNotar-Hacker hat eine weiteres Manifest veröffentlicht. Darin gibt er an, Zugriff auf vier weitere Certificate Authorities zu haben, um sich jederzeit beliebige Zertifikate auszustellen. Namentlich nennt er in seinem Manifest jedoch nur GlobalSign. Daneben will er auch der Hacker gewesen sein, der im Juni in die Server des israelischen Zertifikatsherausgeber StartCom eingedrungen ist.[/Update]