Pr0d@dm1n. En alt for svag adgangskode, servere med gammel software og ingen antivirusbeskyttelse – det begyndte med elendig sikkerhed hos det hollandske firma Diginotar og endte med en skandale, der gjorde det klart, hvor usikkert hele fundamentet for sikker internetkommunikation er.
Diginotar var en såkaldt Certificate Authority – et firma, der udsteder de certifikater, som din internetbrowser bruger til at kontrollere, at en forbindelse over internettet er krypteret og sikker. Når du for eksempel logger ind på Facebook, Gmail eller taster dine kreditkortoplysninger ind på Amazon, viser hjemmesiden et certifikat til din internetbrowser, som tjekker om certifikatet er gyldigt og udstedt af en enhed – som f.eks. Diginotar – man kan stole på. Alt det sker, uden at man som bruger lægger mærke til det andet end måske ved det lille hængelås-symbol og bogstaverne ’https’ i browserens adressefelt. De fleste har tillid til, at hvis man ikke får en advarsel om, at noget er galt, kan man trygt logge ind og skrive sine emails, uden at nogen kan læse med eller stjæle ens adgangskode. Det er en grundlæggende tillid, som er central for hele vores måde at bruge internettet på. Skandalen hos Diginotar viste, at den tillid er ubegrundet.
Den 17. juni 2011 brød nogen ind i Diginotar. Det tog et par uger for hackeren at bevæge sig igennem firmaets systemer, før det lykkedes at udstede de første falske certifikater i firmaets navn. Hvis en hacker udsteder falske certifikater, betyder det, at når en bruger logger ind på en tjeneste, som hun tror er sikker, kan hackeren aflytte kommunikationen og stjæle adgangskoder og andre personlige oplysninger.
Godt en måned efter indbruddet blev det hollandske firma opmærksom på den mulige katastrofe og arbejdede sammen med eksternt hyrede it-specialister på at inddæmme sikkerhedsbristen og kalde de falske certifikater tilbage. Firmaet troede først, operationen var lykkedes, og offentligheden hørte derfor intet om det, før mere end en måned senere, da det kom frem, at der cirkulerede falske Diginotar-certifikater til Googles tjenester.
Diginotar erkendte kort efter, at der havde været en sikkerhedsbrist, og skandalens omfang voksede. Den hollandske regering indkaldte til pressekonference og advarede sin befolkning mod at bruge internettet til kommunikation med det offentlige, fordi Diginotar stod for certifikaterne til blandt andet de hollandske borgeres skatteindberetninger. En hacker havde altså i månedsvis kunnet manipulere med borgernes skatteindberetninger eller anden kommunikation med det offentlige og skabe kaos i systemet.
Efterfølgende analyser viste dog, at det ikke var hollænderne, der havde mest at frygte. Hackeren fokuserede stort set udelukkende på Iran og havde nået at ramme 300.000 iranske IP-adresser med de falske certifikater. Mange tusinder iranere havde dermed fået deres private kommunikation aflyttet af udenforstående. Derudover var anonymiseringsværktøjet Tor – som er populært blandt iranske dissidenter – Google, Skype og endda CIA og Mossad også ramt af de falske certifikater. Et mønster, der sammen med andre indicier fik mistanken til at rette sig mod hackere med forbindelse til den iranske stat.
Tilliden er indbygget
Tillid på internettet er kompliceret. I den fysiske verden er det relativt nemt at verificere, hvem du taler med, og vurdere risikoen for at blive overhørt. Hvornår noget er en privat samtale eller ej giver som regel sig selv. Sådan er det ikke på nettet. Her er systemet indrettet sådan, at der er fuld tillid til en hjemmeside, som viser et gyldigt certifikat og dermed på papiret sørger for at sikre, at en forbindelse til for eksempel Gmail er sikker. Man skriver sit brugernavn og password ind i den tro, at den information bliver mellem én selv og den side, man besøger.
Vælger man at have mistillid til dette https-system er det nødvendigt både at have relativt store tekniske kundskaber og samtidig afstå fra at bruge de fleste mailudbydere, købe ind på Amazon eller opdatere sit styresystem. Med andre ord: Det er stort set umuligt ikke at stole på systemet og samtidig bruge internettet på en nogenlunde normal måde.
For de fleste mennesker vil en sikkerhedsbrist være relativt uskadelig, men ifølge Axel Arnbak, der er ph.d. fra Institute for Informationsret på Amsterdam Universitet og forsker i emnet, kan man slet ikke undervurdere betydningen af https- og ssl-certifikater på det nuværende internet.
»Meget kritisk infrastruktur er sikret via ssl-certifikater. Militæret, hospitaler og hele den milliardstore globale e-handel afhænger af de certifikater. ,« siger han.
»Så hvis det handler om tillid, så viser det, at denne tillid ikke altid er velbegrundet. Det er et meget stort problem.«
Hvis Diginotar var de eneste med problemer, var skadevirkningerne måske til at overskue. Men Comodo – en af verdens største certifikatudstedere blev flere gange hacket i 2012, og andre firmaer har også måtte gå ud i offentligheden og erkende, at deres systemer har været kompromitterede. Hvad Diginotar synliggjorde var, at der er en seriøs sårbarhed i hele den måde, som systemet er designet på, forklarer Axel Arnbak.
»Det store problem ved systemet er, at hvis en cyberkriminel hacker en mindre certifikatudsteder i Kenya, Holland eller Filippinerne, kan han signere certifikater til domæner i hele verden. Til Gmail, Facebook, Skype, Mossad, CIA osv. Alle stolede jo på Diginotar-certifikaterne, mens de var hacket, så i flere måneder kunne alle i hele verden være blevet spioneret mod,« siger han.
Efter de tidligste brister ved systemet begyndte at vise sig, undersøgte den amerikanske ngo Electronic Frontier Foundation, hvor mange certifikatudstedere der rent faktisk eksisterede og kom frem til, at der findes flere hundrede forskellige af slagsen underlagt 50 forskellige nationale lovgivninger. En situation, der er helt uoverskuelig i et sikkerhedsperspektiv, som ENISA – Det Europæiske Agentur for Net- og Informationssikkerhed – konstaterede efter Diginotar-skandalen:
»Sikkerheden ved https er lig med sikkerheden hos den svageste certifikatudsteder«.
Regulering er svært
Selv om de store systemiske problemer har været åbenlyse i et par år, og konsekvenserne for både e-handelsindustri og vitale infrastrukturer kan være markante, er hverken lovgivere eller sikkerhedsindustrien kommet med implementerbare bud på de gennemgribende reformer, som systemet har brug for. Det er kompliceret, for internettet er ikke bare noget, man sætter på pause, mens man finder en løsning, siger Axel Arnbak.
»Det er meget svært at skifte motoren på en flyvemaskine, mens den er i luften. Indtil for relativt nylig tydede ikke meget på, at der var noget galt med den model, som alle baserer internetkommunikation på i deres hverdag. Det er meget kompliceret at ændre, fordi så mange mennesker hele tiden bruger den fejlbehæftede model,« siger han.
EU arbejder for øjeblikket med et bud på ny lovgivning på området på baggrund af Diginotar-skandalen, og ifølge Axel Arnbak er der oplagte steder, hvor lovgivning kan spille en rolle:
»Diginotar holdt det hemmeligt i tre måneder, at de var blevet hacket, og der var ingen lovgivning, der tvang dem til at offentliggøre, at de var blevet udsat for et angreb. Loven vil være et godt instrument til i de mindste at tvinge dem til at oplyse, når de er blevet hacket,« siger han.
På den måde ville alle andre aktører kunne have fjernet tilliden til Diginotars certifikater, og de andre certifikatudstedere ville også kunne have taget deres forholdsregler. Men der er andre områder af EU-lovforslaget, der absolut ikke er optimale, mener Axel Arnbak.
»De lægger op til at give fuldt erstatningsansvar til certifikatudstederne, så hvis noget går galt på internettet, er det dem, der står med erstatningsansvaret. Men hvis man etablerer fuldt erstatningsansvar, er der ingen, der vil tage ansvaret for at udstede certifikater, fordi de potentielle skader, hvis noget går galt, vil være så store. Så man ødelægger et vigtigt marked for internetsikkerhed, og det er problematisk, fordi https er virkelig vigtigt,« siger han.
Den nuværende model er åbenlyst uholdbar, men på grund af et usikkert system og ikke på grund af manglende lovgivning.
»Jeg kan godt forstå, at lovgiverne tror, at de kan løse det her via lovgivning, men sikkerhedsbristen ligger i selve designet. Så det er nørderne rundt om i verden, der skal samle sig og finde en løsning. For det er i alles interesse, at slutbrugerne stoler på internetkommunikationen«.
Sebastian...en god artikel og, dit allersidste afsnit ''Jeg kan godt forstå, at lovgiverne tror, at de kan løse det her via lovgivning....'' og du fortsaetter ''For det er i alles interesse, at slutbrugerne stoler på internetkommunikationen''
Er lovgiverne nu ogsaa interesserede i at slutbrugerne toer stole paa deres egen internetkommunikation, internetbank etc. eller, har de rent faktisk en interesse i, at vi netop ved at vi ikke kan stole paa det og dermed...i magthavernes oenskeverden....bliver bange for at kommunikere aabent og aerligt?
Kunne det taenkes at dette med at noerderne finder en loesning, fra magthavernes side, netop gerne maa udsaettes fordi de oensker at undertrykke folket saa laenge som overhovedet muligt?