211service.com
Falska certifikat avslöjar brister i Internets säkerhet
Ett stort intrång hos en holländsk leverantör av digitala certifikat har fått vissa säkerhetsexperter att ifrågasätta infrastrukturen som stöder säkerheten på Internet.
Intrånget gjorde det möjligt för okända angripare att utfärda minst 531 bedrägliga certifikat för större domäner, inklusive Google.com, Microsoft.com och Yahoo.com. Certifikat är tänkta att verifiera en webbplats som äkta för en besökares webbläsare; den verifieringen förhindrar en angripare från att använda en förfalskad domänadress för att stjäla data. Certifikaten innehåller krypterad data som låter webbläsare och annan programvara bekräfta att en webbplats är legitim. Så genom att äventyra det digitala certifikatet kan en angripare utge sig för att vara en säker webbplats, som Googles Gmail, och avlyssna kommunikation, eller kringgå säkerhetsmekanismer och installera skadlig programvara.
Det som är ovanligt här är inte att en certifikatmyndighet äventyras, utan att någon märkte det, säger Moxie Marlinspike, teknisk chef och medgrundare av Whisper Systems, ett företag som fokuserar på att säkra mobil kommunikation. Det här händer hela tiden.
Det komprometterade certifikatföretaget, DigiNotar, är ett av cirka 650 företag, kända som certifikatutfärdare, eller CA, som är betrodda att utfärda certifikaten. Tidigare i år erkände en annan certifikatmyndighet, Comodo, att en angripare hade brutit mot säkerheten för sina system och utfärdat minst nio certifikat för stora domäner, inklusive Google, Skype och Yahoo. Vid Black Hat Security Conference i augusti kritiserade Marlinspike det nuvarande systemet med certifikatmyndigheter och erbjöd en annan modell, känd som Convergence, baserad på en peer-to-peer-modell av förtroende.
The Electronic Frontier Foundation, en grupp för digitala rättigheter, hävdade i en analys publicerade denna vecka att de senaste inbrotten tyder på att valet om att lita på en certifikatutfärdare bör ligga hos användaren, inte hos webbläsarleverantörer eller webbplatser.
Dessa CA:er verkar finnas inom cirka 50 länders jurisdiktioner, skriver författarna till rapporten. Vilket som helst av dessa länder skulle kunna tänkas tvinga en CA att skapa bedrägliga certifikat för spionage eller för att spionera på landets medborgare.
Den senaste attacken visar att ett enstaka brott kan få långtgående effekter. A preliminär rapport utfärdat av det holländska säkerhetsföretaget Fox-IT i början av september fann att inkräktarna utnyttjade betydande svagheter i DigiNotars nätverkssäkerhet, inklusive ett enda konto som kan kontrollera alla dess certifikatservrar och använda ett svagt lösenord för kontoåtkomst. Företaget fann att mer än 300 000 unika IP-adresser – nästan helt från Iran – stötte på ett bedrägligt certifikat utfärdat för Googles domän. Redan Apple, Google, Microsoft och Mozilla har uppdaterat sin webbläsare för att misstro alla certifikat som signerats av DigiNotar.
Den holländska regeringen, som förlitar sig på de digitala signaturer som utfärdats av DigiNotar för sin krypterade kommunikation, har tagit över företagets certifikatverksamhet. Dessutom undersöker man om fokus på iranska användare kan tyda på att landets regering kan ha varit inblandad i attacken.
Certifikatsystemet fungerar, men behöver ökat fokus på säkerhet, säger Amar Doshi, senior manager för certifikatprodukter hos säkerhetsföretaget Symantec, som förvärvat och nu förvaltar certifikatutfärdaren VeriSign.
Alla händelser under de senaste veckorna visar verkligen att 'ett certifikat är ett certifikat är ett certifikat' inte riktigt gäller, säger Doshi. Det finns skillnader mellan certifikat. Det finns skillnader mellan CA.
Några av webbläsartillverkarna verkar redo att fokusera på dessa skillnader. Förra veckan försåg Mozilla Foundation, gruppen som hanterar utvecklingen av webbläsaren Firefox, certifikatmyndigheter med en lista över säkerhetskontroller som skulle genomföras på åtta dagar. Den sade att varje myndighet som inte följer begäran kan hitta alla certifikat utfärdade av dem som anses vara opålitliga av Mozilla.
Deltagande i Mozillas rotprogram är efter vårt eget gottfinnande, och vi kommer att vidta de åtgärder som krävs för att hålla våra användare säkra, Kathleen Wilson, programchefen som ansvarar för Mozillas CA Certificates Module, sa i ett mejl till certifieringsmyndigheter.