Artikel top billede

Derfor kan du ikke stole på browser-kryptering

SSL-kryptering er ikke så sikker, som mange tror. En sikkerhedsforsker slår nu alarm.

I løbet af de sidste par år er mange af de største internet-tjenester som Google, Facebook og Twitter skiftet til SSL-kryptering (Secure Sockets Layer). Det skal beskytte mod, at uvedkommende kan lytte med i kommunikationen. SSL opbygger en krypteret forbindelse mellem server og browser - det kan kendes på forkortelsen "https" (HyperText Transfer Protocol Secure) i web-adressen. Typisk viser browseren også en lille lås eller et andet ikon for at signalere, at forbindelsen er sikker.

Men man kan ikke stole på SSL. Den lille lås betyder ikke nødvendigvis, at forbindelsen faktisk er beskyttet. Sådan lyder budskabet fra det hollandske sikkerheds-forsker Axel Arnbak fra universitetet i Amsterdam, der advarede mod SSL-teknologien på hacker-konferencen 29C3 i sidste uge.

"SSL-kryptering er en stor risiko. Systemet er grundlæggende defekt, og nogen er nødt til at reparere det," sagde han.

Et af de største problemer er certifikat-udstederne, som danner fundamentet for hele SSL-systemet. Disse certifikater sørger for, at data kan overføres krypteres. Forskeren mener, at det er fuldstændig umuligt at overskue, hvem der kan udstede certifikater. Der er omkring 650 certifikat-udstedere i 54 forskellige lande med hver deres egen lovgivning, og det anslås, at 50 af udstederne ligger i autoritære stater som Kina eller Yemen, hvor man ikke nødvendigvis er interesseret i at beskytte brugernes privatsfære.

Falske certifikater bruges til phishing

Der er mange eksempler på, hvor galt det kan gå. I marts sidste år fik en hacker fat i ni certifikater hos firmaet Comodo. Der var tale om certifikater til eksisterende websteder, herunder addons.mozilla.org, google.com og yahoo.com. Disse certifikater kunne så bruges til at lokke brugerne ind på falske hjemmesider (med DNS-manipulation). Man kunne f.eks. oprette en kopi af addons.mozilla.org og forsyne den med et stjålet certifikat.
 
Dermed ser hjemmesiden ægte ud, og eftersom den er udstyret med et rigtigt certifikat, kommer der heller ingen advarsler frem i browseren. Her kunne man så snyde brugeren til at installere add-ons med malware til Firefox.

Problemet er endnu mere akut, når det gælder online-banking, hvor et stjålet server-certifikat kan misbruges af phishere til at lokke folk ind på en falsk kopi af netbanken.

Browserfirmaerne var herefter tvunget til at reagere med patches, der sortlistede de pågældende certifikater i browserne.

Normalt er det muligt at trække et kompromitteret certifikat tilbage og dermed gøre det ugyldigt, enten gennem spærreliste (CRL) eller en online-kontrol med Online Certificate Status Protocol (OCSP).
 
Men i praksis er det muligt at blokere browserens kontrol af certifikatet, uden at brugeren er klar over det. Så denne sikkerheds-mekanisme fungerer heller ikke.

Hollandsk udsteder blev hacket

Sagen afslørede et grundlæggende problem med hele den aktuelle SSL-infrastruktur. Blind tillid til certifikater kan være farlig - også selvom udstederen virker troværdig. Den samme hacker var på spil igen senere i 2012, da den hollandske certifikat-udsteder Diginotar blev ramt af et angreb.

Det menes, at hackeren også er trængt ind hos GlobalSign, Startcom og fire andre CA'er (Certification Authorities). Alene hos Diginotar blev der udstedt mindst 500 falske certifikater til alt fra Google til Microsoft.

Problemet er så seriøst på grund af måden, SSL-certifikater bliver valideret af de fleste browsere på: Det er ikke vigtigt, hvem der har udstedt certifikatet; så længe certifikatet er gyldigt (er udstedt af hvilken som helst af de godkendte root authorities), og er udstedt til det rette domæne, antages det, at alt er i orden.

Der findes mange teoretiske løsninger. Blandt andet kunne man få flere forskellige CA'er til at godkende et certifikat, så der er mindre chance for, at én "dårlig" CA ikke kan volde meget skade, men man kan også gå så langt som at erstatte de konventionelle root CA'er fuldstændigt.

Et interessant projekt i den arena er Convergence, der bygger på flere års research i Perspectives-projektet på Carnegie Mellon-universitetet i USA. Det er lige nu et browser-plugin, der lader dig vælge, hvilke CA'er (kaldet "notaries") du stoler på; de CA'er kan så vælge, hvilke domæner der skal stoles på.

De hollandske myndigheder måtte efterfølgende overtage kontrollen med Diginotar, og de fleste browser-firmaer har fjernet selskabet som troværdig certifikat-udsteder. Diginotar-certifikater bliver dog stadig brugt til mange tjenester.

Brugerne ignorerer advarsler

Men angrebene mod Comodo og Diginotar - der muligvis kom fra Iran - viste, at man er stort set magtesløs. Nu vil EU-kommissionen forsøge at løse problemet med en ny retningslinie, den såkaldte eSignatures Regulation, der skal regulere SSL-kryptering. De nye regler betyder blandt andet, at certifikat-udstedere kan drages til ansvar, hvis der er problemer med sikkerheden.  

Forskeren Axel Arnbak mener dog ikke, at det vil fjerne problemer. Dels er det kun store certifikat-firmaer, der har råd til at sikre sig, og desuden gælder EU-reglerne ikke i hele verden. Han mener, at ansvaret også ligger hos hjemmeside-ejere og brugerne selv.

Ifølge SSL Pulse er det kun 15,6 pct. af de 180.000 mest besøgte websteder i verden, der har den nyeste SSL-sikkerhed. Desuden har brugerne en tendens til at ignorere advarsler om forældede eller utroværdige certifikater.

Senest har der været problemer med certifikat-udstederen Turktrust, hvor der er udstedt et falsk certifikat til "google.com" domænet. Både Microsoft og Google udsender nu opdateringer til deres browsere, der fjerner Turktrust som en troværdig certifikat-myndighed.




IT-JOB
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere


Opgøret med legacy-systemer: Få styr på mulighederne, planen og businesscasen

I en verden hvor alt forandres konstant, og hvor kravene til virksomhedernes digitale formåen vokser, er der stadig mange organisationer og virksomheder, der bliver hæmmet af deres legacy-systemer. Det kan være en lang og hård rejse at afskaffe disse systemer, men på sigt kan virksomhederne høste frugt af deres arbejde.

25. august 2021 | Læs mere






Computerworld
Tysk unicorn-app stormer ind på det danske marked: Vil levere dine dagligvare-indkøb på 10 minutter
Gorillas er en app-drevet udbringningstjeneste, der er blevet kaldt for Europas hurtigstvoksende startup. Tjenesten vil nu udbringe dagligvare til danskerne inden for 10 minutter.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Sådan får du maksimal værdi af serverudskiftning i SMV-organisationen
I denne analyse får du viden om, hvornår du udskifter hardware i den mellemstore virksomhed, så du optimerer værdien af både den eksisterende og kommeunde investering.