Tag Archives: SSL

Säkerhetsradion: Comodo hackat – falska SSL-certifikat utfärdades

De senaste dagarnas stora nyhet var enligt mig intrånget hos Comodo. Vill du veta mer kan du lyssna på den här podcasten om hela affären, eller läsa TechWorlds artikel om det där de intervjuade mig.

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.

Facebook – nu med kryptering

Mycket om Facebook nu.

För ett tag sedan fick Mark Zuckerberg, Facebooks grundare, sitt eget konto kapat, berättar bland andra PC För alla. Inte så mycket mer att göra än att stämma in i tidigare kritik mot Facebooks ganska halvhjärtade säkerhetstänkande. Det kunde vara mycket bättre – en bra början vore att använda krypterade anslutningar – även om man självklart måste balansera användarvänlighet mot säkerhet. Det måste gå snabbt att registrera sig på och använda tjänster som Facebook, det är viktigt för affärsmodellen. Vissa säger att det i Zuckerbergs fall handlar om slapp lösenordshantering, och då är det inte mycket att göra åt.

Händelserna i Tunisien, där landets myndigheter stal lösenord och övervakade Facebook på nationell nivå för att försöka stävja de demonstrationer som delvis koordinerades i sociala medier, provocerade fram en reaktion från Facebook: alla som anslöt inom landets gränser erbjöds en säker HTTPS-anslutning.

Nu, dagar efter att Zuckerbergs konto kapades, ska Facebook enligt The Register erbjuda alla sina 500 miljoner användare SSL-krypterad inloggning. Man kan kanske säga ”äntligen”.