Artikel top billede

Kan vi stole på Microsoft- og Google-certificater efter hackerangreb?

Det seneste angreb mod Diginotar har afsløret en alvorlig brist i nettets sikkerheds-infrastruktur.

Det seneste angreb mod den hollandske certifikat-udsteder Diginotar har igen sået tvivl om sikkerheden i nettets certifikat-system. I går kom det frem at Comodo-hackeren, som menes at stå bag angrebet, måske også er trængt ind hos GlobalSign, Startcom og fire andre certifikater-udstedere (CA'er, Certification Authorities). Hvis det er korrekt, kan det betyde at hackeren har mulighed for at udstede vilkårlige certifikater. Alene hos Diginotar er der tilsyneladende udstedt mindst 500 falske certifikater til alt fra Google til Microsoft.

Disse certifikater bruges blandt andet til at identificere modparten i SSL-krypteret kommunikation - og de seneste angreb sætter et stort spørgsmålstegn ved sikkerheden og pålideligheden i den model, der anvendes i dag. Det mener Patrick Mylund Nielsen, der er teknisk direktør i Kaspersky Lab.

"Hvis Comodo-hackeren faktisk har kontrol over fire andre CAs, hvilket jo er svært at bekræfte, er det meget seriøst, da det betyder, at essentielt alle sider, kan være forfalskede, eller have en mand i midten (man-in-the-middle attack), der lytter på trafikken til f.eks. webmail og Facebook, men endnu værre når man udfylder kreditkortformularer i e-butikker og bruger online banking. Det er dog seriøst ligemeget om han har kontrol eller ikke, da det stadig er en teroretisk--ja, selv sandsynlig mulighed," siger Patrick Mylund Nielsen til ComON.

Problemet er så seriøst på grund af måden SSL-certifikater bliver valideret af de fleste browsere på: Det er ikke vigtigt hvem der har udstedt certifikatet; så længe certifikatet er gyldigt (er udstedt af hvilken som helst af de godkendte root authorities), og er udstedt til det rette domæne, antages det, at alt er i orden.

"Det er den implicitte tro i alle CAs, der er problematisk. Selve SSL og PKI (assymetrisk kryptering) er der ikke noget galt med, men vi bliver sandsynligvis nødt til at reevaluere om vi virkelig skal sætte så meget tro i sådanne "single points of failure" i fremtiden," siger han.

Der findes mange teoretiske løsninger. Blandt andet kunne man få flere forskellige CAs til at godkende et certifikat, så der er mindre chance for at én "dårlig" CA ikke kan volde meget skade, men man kan også gå så langt som at erstatte de konventionelle root CAs fuldstændigt. Et interessant projekt i den arena er Convergence, der bygger på flere års research i Perspectives-projektet på Carnegie Mellon-universitetet i USA. Det er lige nu et browser-plugin, der lader dig vælge hvilke "CAs" (kaldet "notaries"), du stoler på; de CAs kan så vælge hvilke domæner der skal stoles på.

"Det er i bund og grund samme model, men med to vigtige ændringer: 1. Der er ikke en hårdkodet liste over mange forskellige, inklusive kinesiske, russiske og indiske CAs, som automatisk stoles på af din browser, 2. Der er mulighed for at kræve, at mere end bare en "notary" godkender et givet certifikat, så det ikke udgør en så stor risiko hvis en hacker har fået kontrol over en af dem," siger Patrick Mylund Nielsen.

Han erkender at det er en stor opgave at ændre på nettets grundlæggende CA-infrastruktur, men mener samtidig at det er nødvendigt.

"Vi er ikke i et stadie, hvor vi kan lave en stor ændring fra dag til dag, men jeg tror, at det er noget, der vil komme meget på tale, så småt som vi begynder at opdage, at der er cyberkriminelle, der har fingrene i langt mere end folk troede, og måske har haft det i lang tid. Det er helt klart et vigtigt og meget seriøst emne, da det, at der demonstreres praktiske angreb mod CA-infrastrukturen, viser os at vi ikke kan stole 100 pct. på noget, vi altid har taget som en selvfølge er fuldstændig sikkert," slutter han.

En stor del af ansvaret for den seneste sikkerheds-fadæse bliver placeret hos Diginotar, som angiveligt har sløset med sikkerheden i sine systemer. De hollandske myndigheder har nu overtaget kontrollen med selskabet, og de fleste browser-firmaer har fjernet det som troværdig certifikat-udsteder.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere