Artikel top billede

Kan vi stole på Microsoft- og Google-certificater efter hackerangreb?

Det seneste angreb mod Diginotar har afsløret en alvorlig brist i nettets sikkerheds-infrastruktur.

Det seneste angreb mod den hollandske certifikat-udsteder Diginotar har igen sået tvivl om sikkerheden i nettets certifikat-system. I går kom det frem at Comodo-hackeren, som menes at stå bag angrebet, måske også er trængt ind hos GlobalSign, Startcom og fire andre certifikater-udstedere (CA'er, Certification Authorities). Hvis det er korrekt, kan det betyde at hackeren har mulighed for at udstede vilkårlige certifikater. Alene hos Diginotar er der tilsyneladende udstedt mindst 500 falske certifikater til alt fra Google til Microsoft.

Disse certifikater bruges blandt andet til at identificere modparten i SSL-krypteret kommunikation - og de seneste angreb sætter et stort spørgsmålstegn ved sikkerheden og pålideligheden i den model, der anvendes i dag. Det mener Patrick Mylund Nielsen, der er teknisk direktør i Kaspersky Lab.

"Hvis Comodo-hackeren faktisk har kontrol over fire andre CAs, hvilket jo er svært at bekræfte, er det meget seriøst, da det betyder, at essentielt alle sider, kan være forfalskede, eller have en mand i midten (man-in-the-middle attack), der lytter på trafikken til f.eks. webmail og Facebook, men endnu værre når man udfylder kreditkortformularer i e-butikker og bruger online banking. Det er dog seriøst ligemeget om han har kontrol eller ikke, da det stadig er en teroretisk--ja, selv sandsynlig mulighed," siger Patrick Mylund Nielsen til ComON.

Problemet er så seriøst på grund af måden SSL-certifikater bliver valideret af de fleste browsere på: Det er ikke vigtigt hvem der har udstedt certifikatet; så længe certifikatet er gyldigt (er udstedt af hvilken som helst af de godkendte root authorities), og er udstedt til det rette domæne, antages det, at alt er i orden.

"Det er den implicitte tro i alle CAs, der er problematisk. Selve SSL og PKI (assymetrisk kryptering) er der ikke noget galt med, men vi bliver sandsynligvis nødt til at reevaluere om vi virkelig skal sætte så meget tro i sådanne "single points of failure" i fremtiden," siger han.

Der findes mange teoretiske løsninger. Blandt andet kunne man få flere forskellige CAs til at godkende et certifikat, så der er mindre chance for at én "dårlig" CA ikke kan volde meget skade, men man kan også gå så langt som at erstatte de konventionelle root CAs fuldstændigt. Et interessant projekt i den arena er Convergence, der bygger på flere års research i Perspectives-projektet på Carnegie Mellon-universitetet i USA. Det er lige nu et browser-plugin, der lader dig vælge hvilke "CAs" (kaldet "notaries"), du stoler på; de CAs kan så vælge hvilke domæner der skal stoles på.

"Det er i bund og grund samme model, men med to vigtige ændringer: 1. Der er ikke en hårdkodet liste over mange forskellige, inklusive kinesiske, russiske og indiske CAs, som automatisk stoles på af din browser, 2. Der er mulighed for at kræve, at mere end bare en "notary" godkender et givet certifikat, så det ikke udgør en så stor risiko hvis en hacker har fået kontrol over en af dem," siger Patrick Mylund Nielsen.

Han erkender at det er en stor opgave at ændre på nettets grundlæggende CA-infrastruktur, men mener samtidig at det er nødvendigt.

"Vi er ikke i et stadie, hvor vi kan lave en stor ændring fra dag til dag, men jeg tror, at det er noget, der vil komme meget på tale, så småt som vi begynder at opdage, at der er cyberkriminelle, der har fingrene i langt mere end folk troede, og måske har haft det i lang tid. Det er helt klart et vigtigt og meget seriøst emne, da det, at der demonstreres praktiske angreb mod CA-infrastrukturen, viser os at vi ikke kan stole 100 pct. på noget, vi altid har taget som en selvfølge er fuldstændig sikkert," slutter han.

En stor del af ansvaret for den seneste sikkerheds-fadæse bliver placeret hos Diginotar, som angiveligt har sløset med sikkerheden i sine systemer. De hollandske myndigheder har nu overtaget kontrollen med selskabet, og de fleste browser-firmaer har fjernet det som troværdig certifikat-udsteder.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere