+++Werbung+++
Estland hat die Sicherheitszertifikate von 760.000 elektronischen Personalausweisen ausgesetzt, da diese mit einem für Identitätsdiebstahl anfälligen, elektronischen Chip ausgestattet waren. Regierungschef Juri Ratas empfahl allen Nutzern ein Sicherheitsupdate, um Angriffe zu vermeiden. In Estland dient ein solcher elektronischer Personalausweise nicht nur der Identifikation im realen und digitalen Leben, sondern ermöglicht es den Nutzern auch, ihre digitale Unterschrift unter elektronische Dokumente zu setzen oder zu wählen.
Wie Ars Technica berichtet, hat sich herausgestellt, dass der Bug wesentlich leichter auszunutzen ist als ursprünglich gedacht. Das erklärten Kryptographen am Wochenende.
Die kritische Schwäche erlaube es Angreifern, den privaten Teil eines verwundbaren Schlüssels zu berechnen, wobei nichts anderes als der entsprechende öffentliche Teil verwendet wird. Hacker können dann den privaten Schlüssel verwenden, um Schlüsselbesitzer zu imitieren, sensible Daten zu entschlüsseln, bösartigen Code in digital signierte Software einzuschleusen und Schutzumgehungen zu umgehen, die den Zugriff auf manipulierte PCs oder deren Manipulation verhindern. Als Forscher den Fehler vor drei Wochen zum ersten Mal enthüllten, schätzten sie, dass ein Angreifer bei einem kommerziellen Cloud-Dienst durchschnittlich 38 US-Dollar und 25 Minuten für einen verwundbaren 1024-Bit-Schlüssel und 20.000 US-Dollar sowie neun Tage für einen 2048-Bit-Schlüssel ausgeben würde, um den Schlüssel zu knacken. Nun haben die Experten herausgefunden, dass der Schlüssel bereits für 1.000 Dollar geknackt werden könnte.
Die estnischen Behörden haben am Montag laut AFP einen russischen Staatsbürger festgenommen, der angeblich eine Cyberattacke auf staatliche Institutionen des baltischen Landes geplant haben soll. Der Mann soll ein mutmaßlicher Mitarbeiter des russischen Inlandsgeheimdiensts FSB sein, wie die estnische Generalstaatsanwaltschaft am Dienstag in Tallinn bekannt gab.
Durch die Festnahme sei "ernsthafter Schaden" vermieden worden, erklärte die für die Untersuchung zuständige Generalstaatsanwältin Inna Ombler. Sie fügte hinzu, die Aktivitäten des Verdächtigen stünden nicht in Zusammenhang mit der jüngsten Bedrohung der Sicherheit elektronischer Personalausweise, die das Land getroffen hatte.
