onsdag 31 augusti 2011

Huvudet i sanden? Hackad CA plockas bort från IE och FF

Ja, på tal om strutsreaktioner så har de senaste dagarna rullat upp en intressant story. Holländska CA:n DigiNotar har utnyttjats för att göra MITM-attacker i Iran. Ett wildcard-certifikat för *.google.com upptäcktes av en medborgare tack vare certifikatpinning, en feature som implementerades i Chrome för inte så länge sedan, som en reaktion på att flera CAs den senaste tiden uppvisat bristande säkerhet.


Certifikatet för *.google.com gavs ut den 10:e juli i år, men flera spår visar att DigiNotar har haft oupptäckta intrång av flera parter sedan åtminstone 2009. Reaktionerna från omvärlden har inte låtit vänta på sig; både Microsoft och Firefox har plockat bort DigiNotars rootcertifikat från sina webbläsare, vilket i praktiken gör att ingen kommer vilja köpa certifikat från dem längre eftersom webbläsaren ändå kommer ge varning. Att Google kommer göra detsamma med Chrome är väl knappast någon vild gissning. (UPDATE: Kanske, kanske inte. Enligt källkoden till Chrome så har Google nu invaliderat 247 certifikat från DigiNotar)

Så vad är DigiNotars ägares reaktion på det? Ja, för det första så tog det dem 1½ dag att över huvud taget kommentera från det att det blivit allmänt känt. De gjorde en utredning och drog tillbaka ett antal certifikat, men senare visade det sig att utredningen inte var komplett. De blev uppmärksammade på det av holländska GovCert, och upptäckte det alltså inte själva (intressant fakta: en majoritet av intrång som upptäcks rapporteras till offret av en tredje part, rätt så tänkvärt vad det betyder för andelen intrång som alls upptäcks...). Och responsen som kommer?
VASCO expects the impact of the breach of DigiNotar’s SSL and EVSSL business to be minimal
Verkligen? Ja, det beror förstås på vilket perspektiv man väljer. DigiNotar står inte för några stora inkomster i förhållande till VASCO i övrigt, vars största inkomst kommer från autentiseringsdosor för tvåfaktorsautentisering. Så jag håller nog med dem, och anser att VASCO hanterar det rätt ok. DigiNotar kanske försvinner, men VASCO kommer inte ta några större smällar. Men efter RSA-hacket så undrar nog många med mig om VASCO är så mycket pålitligare. Kan de mycket väl vara, men hela den här incidenten betraktar jag som "Strike 1".

Inga kommentarer:

Skicka en kommentar