Adam Erlandsson om digitala trender

Adam Erlandsson

Adam Erlandsson

HACKERATTACK I veckan har en tämligen pikant historia utspelat sig i it-säkerhetsvärlden – en historia om hur stulna certifikat fått den nederländska regeringen att agera, drivit ett företag mot konkursens brant och fått stora delar av världens säkerhetsexperter att peka ut Iran som ansvariga.

 

Det hela började med ett kortfattat inlägg på Googles supportforum. En Gmail-användare i Iran fick upp en varningsruta om problem med det certifikat som garanterar den krypterade anslutningen till servern.

Den påföljande utredningen visade att det någon kapat trafiken någonstans mellan webbläsaren och Gmails servrar för att kunna avlyssna den. För att kapa trafiken hade man använt ett falskt certifikat, utfärdat av holländska e-legitimationsleverantören och certifikatutfärdaren Diginotar.

Diginotar har varit utsatta för intrång tidigare och man försökte först sopa det hela under mattan. Det misslyckades och en extern granskning har visat att stora delar av företagets säkerhetsstruktur satts ur spel och att fler än 500 falska certifikat utfärdats av den som tog sig in i deras system.

Ett falskt certifikat är ganska bra att ha om man vill utge sig för att vara någon annan på ett övertygande sätt på nätet. På fackspråk brukar man tala om den här typen av attacker som ”man-in-the-middle”-attacker, eller det något skönare svenska uttrycket janusattacker.

De går, något förenklat och i just det här fallet, ut på att man som hackare använder ett falskt certifikat för att antingen skjuta in sig själva i en krypterad kommunikationskedja eller helt enkelt lurar användaren att tro att de befinner sig på den riktiga sajten de tänkte besöka – när de egentligen surfar på en webbplats som hackarna kontrollerar. All information går sedan att avlyssna.

I det här fallet har det varit just internetanvändare i Iran som varit måltavlor. Säkerhetsföretaget Trend Micro har analyserat trafiken till och från vissa av Diginotars certifikatservrar och konstaterar att det mesta kommer från Nederländerna, men att det dessutom finns en ansenlig mängd trafik från Iran också.

En ensam iransk hackare har tagit på sig ansvaret för intrånget. Det ska vara samma person som tidigare i år genomförde en liknande attack mot certifikatjätten Comodo. Många menar dock att det finns anledning att tro att det är fler involverade och att det sannolikt handlar om säkerhetstjänst som vill övervaka medborgare och möjliga regimkritiker.

– Trovärdiga källor har visat bevis för att de falska certifikaten används i sådan omfattning att det krävs tillgång till den nationella telekominfrastrukturen för att kunna genomföra, säger Fredrik Ljunggren, säkerhetskonsult på Kirei.

De stora leverantörerna av webbläsare var snabbt ute och drog tillbaka samtliga av Diginotars rotcertifikat. Företagets säkerhet har dessutom blivit föremål för såväl utredningar som utfrågningar på regeringsnivå i Holland. Framtiden ser inte direkt ljus ut för det holländska företaget, men attacken mot Diginotar har också lyft debatten om hela säkerhetssystemet med certifikat och mängder av olika certifikatsutfärdare. Debatten i sig är inte ny, många säkerhetsexperter har progpagerat för att det vore bättre att lägga certifiering i domännamnssystemet istället. Men för att det ska fungera måste fler gå över till dnssec – säkra domännamnservrar – och det är en utveckling som gått långsamt.

 

Mer information:

Den officiella rapporten om intrången mot Diginotar finns här.

Moxie Marlinspike höll en ganska underhållande presentation om hur SSL fungerar och om hacket mot Comodo på årets upplaga av säkerhetskonferensen Blackhat:

YouTube Preview Image

 

Fler bloggar