Domæne-giganten Verisign hacket

Annonceindlæg fra Kommando

Identity: Kortere levetid på certifikater øger risikoen for nedbrud

Digitale certifikater er fundamentet for tillid. Nu ændres vilkårene, og der stilles helt nye krav til, hvordan I arbejder med overblik og styring.

Det amerikanske firma Verisign, der har ansvaret for .com, .net og .gov domænerne, er blevet hacket flere gange. Det melder nyhedsbureauet Reuters. Verisigns DNS-servere (Domain Name System) håndterer hver dag mere end 50 milliarder forespørgsler.

Hackerne har stjålet data fra Verisign, men selskabet mener ikke, at hackerne er trængt helt ind til de servere der håndterer DNS. Firmaet vil dog heller ikke udelukke, at det kan være tilfældet.

Hacker-angrebene skete helt tilbage i 2010, men er først nu kommet til offentlighedens kendskab.

Hvis hackere har haft adgang til DNS-serverne, kan det betyde at de har været i stand til at viderelede internet-brugerne til falske sites, som det tit sker i phishing-forsøg.

"Det vil betyde at de kan imitere stort set enhver virksomhed på nettet," siger Stewart Baker, der er tidligere vice-minister i Department of Homeland Security.

Han mener også at aktionen lyder som en "nation-state attack" - altså at en fremmed magt står bag angrebet.

Indtil august 2010 havde Verisign også ansvaret for udstedelse af sikkerheds-certifikater til krypterede SSL-forbindelser. Denne forretning blev solgt til Symantec, som stadig driver den videre under navnet Verisign.

Hvis SSL-processen bliver komprimitteret "kan du oprette et Bank of America certifikat eller et Google certifikat som enhver browser i verden vil stole på," siger sikkerheds-konsulent Dmitri Alperovich fra Asymmetric Cyber Operations.

En talsmand for Symantec afviser dog at der skulle tegn på, at de produkter som firmaet har overtaget skulle være ramt af angrebene.

Det er en rapport fra US Security and Exchange Commission, der har bragt angrebene frem i lyset. Selv ledelsen hos Verisign har åbenbart ikke haft fuld kendskab til angrebene. Den tidligere teknologichef for Verisign, Ken Silva, siger til Reuters at han ikke har hørt om det før nu.

Verisign tilbyder en lang række forskellige tjenester, der skal beskytte kunderne mod angreb, og selskabet samler oplysninger om organiseret cyberkriminalitet. Selskabet ligger derfor inde med mange følsomme data, som kan være et mål for hackere.