Vertrouwen op het internet: Vital, maar ingewikkelder dan ooit

Vertrouwen op het internet: moeilijk vast te stellen, veel gemakkelijker te ondermijnen.

Certificaatautoriteiten (CA) afgeven van de certificaten die verbindingen te versleutelen om websites te beveiligen, dus is het belangrijkste dat we hen te vertrouwen. Dat is met name het geval voor EV-certificaten – degenen die de adresbalk in IE groen – omdat ze moeten worden afgegeven door middel van een veiliger proces dan gebruikelijk.

Dat betekent niet altijd goed werken, echter. Vorig jaar kondigde Google aan dat vanaf 1 juni van dit jaar, Symantec CA zou certificaattransparantiegegevens steunen om zijn EV-certificaten, maar als het niet haar EV certs in het Certificaat Transparency Log brengt, sites met behulp van hen zal worden als niet-vertrouwd in Chrome die kan gemarkeerd ” resulteren in interstitials of andere problemen bij gebruik in Google-producten “.

Het bedrijf zei dat de meeste Windows-pc’s zijn “automatisch beschermd.”

Dat komt na Symantec verkeerd heeft een aantal certificaten voor de domeinen die Google en Opera bezitten om mensen die geen Google en Opera waren.

Symantec zei dat het had 23 keuringsbewijzen afgegeven voor vijf domeinen zonder medeweten van de eigenaar van het domein is; Google vond meer dan dat, en uiteindelijk Symantec zei dat het mis-obligaties voor een 166 certificaten voor 76 domeinen (en 2,458 meer voor domeinen die had nog nooit geregistreerd ). Het is niet alleen Symantec: Chinese CA CNNIC vorig jaar bleek ook een ander bedrijf, MCS Holdings, certificaten voor haar eigen domeinen te geven aan zijn toegelaten; MCS blijkbaar zet de sleutel werd met behulp van voor die in een netwerk proxy dat het als een openbaar behandeld certificeringsinstantie.

Waarom doet dit allemaal dingen uit? Man-in-the-middle-aanvallen laat iemand te veranderen waar je terecht komt als je in een URL: uw browser denkt dat het is in gesprek met de server die u gevraagd om op een gecodeerd kanaal, en de server denkt dat het praten met uw browser, maar ze zijn beide in gesprek met een aanvaller die zit in het midden van de verbinding, vertellen beide zijden wat het wil horen.

Aanvallers kunt u sturen naar een account die niet uw bank, of wisselen van advertenties op de pagina die u bezoekt voor kwaadaardige trackers – of gewoon een andere set van advertenties, dat is wat Lenovo was van plan om met een aantal van haar laptops onlangs.

Kwaadaardige aanvallen man-in-the-middle met behulp van een certificaat dat niet afkomstig is van een bekende en vertrouwde CA krijgen onmiddellijk gevangen door de meeste browsers, dat is de reden waarom Google veeleisend Symantec springen door hoepels extra een duidelijk gebrek aan vertrouwen toont.

Er zijn legitieme redenen voor soortgelijke praktijken. Beheren hoe domeinen zich gedragen op uw eigen netwerk is de reden waarom laten een netwerk proxy ‘man in the middle’ verbinding is iets wat een bedrijf zou wel willen doen, zonder enig kwaad opzet. Je zou ze willen in een netwerk security appliance, dus je kunt nep de domeinen die ransomware en andere malware probeert om verbinding te maken, om te kijken wat het doet zonder dat je testsystemen in gevaar.

Bluecoat doet dat in zijn ProxySG Secure Web Gateway, met behulp van een functie genaamd Gecodeerde Tap die het zegt zal “filter webverkeer, identificeren cloud gebruik van toepassingen, bieden data loss prevention, leveren bedreigingen preventie, en zorgen voor inzicht in versleutelde verkeer”.

Op die manier kunt u controleren en archiveren zelfs versleutelde verkeer, dat je nodig hebt voor het vinden van aanvallen en het spotten van data lekken uit uw systemen die is gecodeerd door de bad guys of zelfs kwaadwillende werknemers.

Google laarzen China’s belangrijkste digitale certificate authority CNNIC; Zal laten versleutelen bedreigen commerciële certificaatautoriteiten;? Microsoft laarzen 20 certificaten van Trusted Root Certificate Program

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer

Maar doe certificaatautoriteiten moeten beter doen beslissen welke certificaten moeten worden afgegeven aan wie?

Ik vroeg Matthew Prince, de CEO van CloudFlare, een dienst die begon als content delivery network met DDoS-bescherming, maar heeft vertakt in DNS en veiligheidsdiensten.

Het probleem is dat certificaat autoriteiten proberen om twee dingen tegelijk: ze proberen om de identiteit vast te stellen en ze zetten encryptie, “vertelde hij me Als u het systeem nu ontwierpen, stelde hij.” Je zou waarschijnlijk creëerde een meer lichtgewicht manier om encryptie aanleggen en bijhouden van de identiteit deel aan de zijkant. Het feit dat ze omgaan met identiteit als goed, dat vermenging maakt het lastig probleem.

Hij vergeleek het met de situatie Let’s coderen, een dienst die gebruik maakt van CloudFlare technologie om gratis encryptie-certificaten aan te bieden aan alle sites aan te moedigen om u een beveiligde verbinding te geven. ‘Wat ze zeggen is’ we hebben het super gemakkelijk om encryptie certificaten, natuurlijk slechteriken gaan om dit te gebruiken te krijgen en het is een net goed dat we certs kan zorgen voor veel meer gemakkelijk en betaalbaar voor alle klanten ‘. ”

Hij merkt ook op dat als een PayPal-phisher maakt gebruik van een Let’s coderen certificaat, is het gemakkelijk om in te trekken dat – wat je niet kon doen als ze het certificaat op hun eigen infrastructuur hadden gecreëerd.

“Een deel van het probleem is dat de vervallenverklaring proces voor de certificaten zo is gebroken,” voegt hij eraan toe: OS providers en browsers moeten herroeping te behandelen en je kunt het niet te makkelijk maken, of dat zal worden gebruikt om iemand aan te vallen als goed.

In toenemende mate, het is niet de traditionele certificaatautoriteiten zoals Symantec, dat het laatste woord met certificaten; providers zoals CloudFlare en browser bedrijven zoals Google zijn in toenemende mate actief in het beheer van het vertrouwen ook.

Wat we nog niet over is een gemakkelijke manier voor gebruikers om te begrijpen wat er gebeurt.

veiligheid

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer