Artikel top billede

Kan vi stole på Microsoft- og Google-certificater efter hackerangreb?

Det seneste angreb mod Diginotar har afsløret en alvorlig brist i nettets sikkerheds-infrastruktur.

Det seneste angreb mod den hollandske certifikat-udsteder Diginotar har igen sået tvivl om sikkerheden i nettets certifikat-system. I går kom det frem at Comodo-hackeren, som menes at stå bag angrebet, måske også er trængt ind hos GlobalSign, Startcom og fire andre certifikater-udstedere (CA'er, Certification Authorities). Hvis det er korrekt, kan det betyde at hackeren har mulighed for at udstede vilkårlige certifikater. Alene hos Diginotar er der tilsyneladende udstedt mindst 500 falske certifikater til alt fra Google til Microsoft.

Disse certifikater bruges blandt andet til at identificere modparten i SSL-krypteret kommunikation - og de seneste angreb sætter et stort spørgsmålstegn ved sikkerheden og pålideligheden i den model, der anvendes i dag. Det mener Patrick Mylund Nielsen, der er teknisk direktør i Kaspersky Lab.

"Hvis Comodo-hackeren faktisk har kontrol over fire andre CAs, hvilket jo er svært at bekræfte, er det meget seriøst, da det betyder, at essentielt alle sider, kan være forfalskede, eller have en mand i midten (man-in-the-middle attack), der lytter på trafikken til f.eks. webmail og Facebook, men endnu værre når man udfylder kreditkortformularer i e-butikker og bruger online banking. Det er dog seriøst ligemeget om han har kontrol eller ikke, da det stadig er en teroretisk--ja, selv sandsynlig mulighed," siger Patrick Mylund Nielsen til ComON.

Problemet er så seriøst på grund af måden SSL-certifikater bliver valideret af de fleste browsere på: Det er ikke vigtigt hvem der har udstedt certifikatet; så længe certifikatet er gyldigt (er udstedt af hvilken som helst af de godkendte root authorities), og er udstedt til det rette domæne, antages det, at alt er i orden.

"Det er den implicitte tro i alle CAs, der er problematisk. Selve SSL og PKI (assymetrisk kryptering) er der ikke noget galt med, men vi bliver sandsynligvis nødt til at reevaluere om vi virkelig skal sætte så meget tro i sådanne "single points of failure" i fremtiden," siger han.

Der findes mange teoretiske løsninger. Blandt andet kunne man få flere forskellige CAs til at godkende et certifikat, så der er mindre chance for at én "dårlig" CA ikke kan volde meget skade, men man kan også gå så langt som at erstatte de konventionelle root CAs fuldstændigt. Et interessant projekt i den arena er Convergence, der bygger på flere års research i Perspectives-projektet på Carnegie Mellon-universitetet i USA. Det er lige nu et browser-plugin, der lader dig vælge hvilke "CAs" (kaldet "notaries"), du stoler på; de CAs kan så vælge hvilke domæner der skal stoles på.

"Det er i bund og grund samme model, men med to vigtige ændringer: 1. Der er ikke en hårdkodet liste over mange forskellige, inklusive kinesiske, russiske og indiske CAs, som automatisk stoles på af din browser, 2. Der er mulighed for at kræve, at mere end bare en "notary" godkender et givet certifikat, så det ikke udgør en så stor risiko hvis en hacker har fået kontrol over en af dem," siger Patrick Mylund Nielsen.

Han erkender at det er en stor opgave at ændre på nettets grundlæggende CA-infrastruktur, men mener samtidig at det er nødvendigt.

"Vi er ikke i et stadie, hvor vi kan lave en stor ændring fra dag til dag, men jeg tror, at det er noget, der vil komme meget på tale, så småt som vi begynder at opdage, at der er cyberkriminelle, der har fingrene i langt mere end folk troede, og måske har haft det i lang tid. Det er helt klart et vigtigt og meget seriøst emne, da det, at der demonstreres praktiske angreb mod CA-infrastrukturen, viser os at vi ikke kan stole 100 pct. på noget, vi altid har taget som en selvfølge er fuldstændig sikkert," slutter han.

En stor del af ansvaret for den seneste sikkerheds-fadæse bliver placeret hos Diginotar, som angiveligt har sløset med sikkerheden i sine systemer. De hollandske myndigheder har nu overtaget kontrollen med selskabet, og de fleste browser-firmaer har fjernet det som troværdig certifikat-udsteder.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere