Spam und Viren liegen heutzutage massenweise im (ungefilterten) Postfach. Neu ist jedoch, dass diese digital signiert versendet werden. Vor Kurzem traf hier eine E-Mail ein, die angeblich eine Information für den Empfänger einer Überweisung über Western Union sein sollte. In einem Anhang befand sich natürlich ein Virus.
Erstaunlich ist allerdings, mit was für einem Zertifikat die E-Mail unterschrieben wurde. Es handelt sich hier um ein gültiges Zertifikat der Firma Actalis S.p.A.:
Actalis ist eine Firma, die eine eigene CA betreibt und Zertifikate für Server, zum Unterschreiben von E-Mails und zum signieren von Objektcode verkauft.
Ausgestellt wurde das verwendete Zertifikat allerdings nicht von der Actalis-Root-CA selbst sondern von DigitPA, offenbar einer italienischen Regierungs-CA.
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 909 (0x38d)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=IT, O=DigitPA, OU=Ufficio interoperabilita' e cooperazione, CN=DigitPA CA1
Validity
Not Before: Mar 31 09:28:10 2011 GMT
Not After : Mar 31 09:28:10 2014 GMT
Subject: CN=Servizio PEC - AR, O=Actalis S.p.A., C=IT
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:a6:a9:83:0b:03:25:1b:a6:26:aa:d4:f7:70:b3:
fc:5d:48:0a:11:a4:ed:57:8c:28:9d:ec:59:cd:bf:
e3:c1:d5:7d:62:1f:0a:d9:dc:c5:ae:7c:b0:11:e5:
4f:1d:83:ee:03:ab:6f:76:66:8b:d8:e8:3a:1b:3e:
e0:e5:3b:89:a9:74:1a:29:ac:14:0b:72:0a:77:96:
9e:1b:f2:fa:6c:b5:0e:32:88:f1:0e:01:6e:e4:c8:
a0:cb:70:c4:e3:66:93:6e:be:22:4a:9e:fc:a6:fa:
c7:61:9a:d6:c5:74:2a:f3:e1:32:12:62:df:77:68:
8c:f2:50:be:5c:f7:ca:9b:bb
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Certificate Policies:
Policy: 1.3.76.16.3.1.1
CPS: http://www.digitpa.gov.it/manuali-operativi
X509v3 Subject Alternative Name:
email:posta-certificata@pec.actalis.it
X509v3 Key Usage:
Digital Signature
X509v3 Authority Key Identifier:
keyid:FE:22:B7:24:E3:4F:27:D9:05:E0:CC:B8:BD:DE:F4:8D:23:FD:2F:D9
X509v3 Subject Key Identifier:
C4:64:35:18:64:12:1B:BA:4E:68:F6:9A:CF:22:71:FF:AE:F6:6D:0B
Signature Algorithm: sha1WithRSAEncryption
... Die E-Mail jedenfalls wurde gut verpackt. Sie sollte wohl so aussehen, als würde sie eine Weiterleitung von Actalis sein. Angehängt (und mitsigniert) ist die eigentliche Nachricht und das Archiv mit dem Virus. Hier ein Auszug des E-Mail-Headers:
Received: from smtp.pec.actalis.it (mx.pec.actalis.it [95.110.240.43]) by mx.kundenserver.de (node=mxbap3) with ESMTP (Nemesis) id 0MUWkV-1U2ytc0FPP-00RFuG for xxxxxx@xxxxxxxxxx.de; Sat, 20 Apr 2013 15:51:55 +0200 Received: from smtp2actp.pec.ad.aruba.it (localhost.localdomain [127.0.0.1]) by smtp.pec.actalis.it (Postfix) with ESMTP id 1D79CA7810C for <xxxxxx@xxxxxxxxxx.de>; Sat, 20 Apr 2013 15:51:54 +0200 (CEST) Received: from Unknown (host116-9-static.104-82-b.business.telecomitalia.it [82.104.9.116]) by smtp.pec.actalis.it (Postfix) with ESMTPA id 82E26A7806D for <xxxxxx@xxxxxxxxxx.de>; Sat, 20 Apr 2013 15:51:49 +0200 (CEST) Subject: POSTA CERTIFICATA: Western Union Money Transfer service X-Riferimento-Message-ID: <29EAC776EFBF4178B08DDBD3EE9DAB6A@bbsvnx> Date: Sat, 20 Apr 2013 15:51:53 +0200 Message-ID: <opec272.20130420155153.19377.06.1.2@pec.actalis.it> Reply-To: avv.carlo.iavicoli@certmail-cnf.it X-Trasporto: posta-certificata To: <xxxxxx@xxxxxxxxxx.de> From: "Per conto di: avv.carlo.iavicoli@certmail-cnf.it" <posta-certificata@pec.actalis.it> X-Priority: 3 X-list: info MIME-Version: 1.0 Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary="----EA006EF10E5030D619B0DAC25C8C6F5F" Envelope-To: xxxxxx@xxxxxxxxxx.de
Sind einem Mitarbeiter von Actalis Zertifikate abhanden gekommen oder versendet gar sein Computer diese Viren-Mails?
Hier noch ein Screenshot der E-Mail:
Leider sind meine Italienischkenntnisse nicht ausreichend, um weiter zu recherchieren.
Update vom 27.11.2014: Offensichtlich handelt es sich um ein automatisches Bounce vom Postmaster, der über die Unzustellbarkeit der E-Mail informiert. Warum diese aber nun digital signiert ist, weiß ich nicht. Mittlerweile ist wieder so eine E-Mail hier aufgeschlagen:
