Jag snubblade över följande mycket intressanta artikel: http://www.win.tue.nl/hashclash/rogue-ca/
Artikeln handlar om ett forskarlag som har lyckats med bedriften att tillverka ett förfalskat rotcertifikat. Om ett certifikat liknas vid ett ID-kort så har det här forskarlaget inte bara lyckats tillverka ett falskt ID-kort, de har byggt en maskin som trycker falska ID-kort.
Hur fungerar certifikat?
För varje webbplats du besöker gör din dator ett DNS-uppslag som översätter ett namn till en IP-adress. DNS var dock aldrig tänkt att hantera säkerhet, du vet egentligen inte att svaret du får är sant.
I exemplet ovan frågar min dator efter IP-adressen för www.swedbank.se. Eftersom jag har bredbandsbolaget som internetleverantör är det deras server (ns10.bredband.com) som varar på min fråga.
Det är inte särskilt avancerat att dirigera om trafiken från min dator till en annan IP-adress, till exempel kan man använda datorns host-fil. Här är ett exempel på min host-fil:
Den första raden är till för att min bror som är djurgårdare inte skall använda min dator och den andra raden vill jag inte kommentera. Den tredje raden pekar om IP-adressen för Swedbanks Internetbank till en annan IP-adress. Som tur är när jag besöker Internetbanken varnas jag av min dator för att certifikatet inte stämmer:
Hur skulle man kunna använda falska certifikat?
Det vore inte svårt för någon att skapa en liten trojan som diskret lägger in en rad extra i host-filen på många datorer där ute. Du sätter du upp en falsk Internetbank som presenterar sig med ett falskt certifikat. Användarna kan inte se skillnad eftersom certifikatet ser äkta ut i deras webbläsare.
För varje operation användaren gör så vidarebefordrar den falska Internetbanken operationerna till den äkta Internetbanken, men den smyger till några egna operationer för varje gång. Detta sätt kalla för en "man-in-the-middle”-attack.
Hur svårt är det att bygga en falsk certifikatutfärdare?
Forskargruppens insats visar att det numera inte bara är teoretiskt möjligt att bygga en falsk certifikatutfärdare, det har redan gjorts.
Det kräver inte heller (för sammanhanget) särskilt mycket datorkraft, artikeln talar om ett par dagars sökning med hjälp av 200 Playstation 3-enheter. Playstation 3 är mycket effektiv vid vissa typer av beräkningar, men ett botnät skulle utan svårigheter kunna uppbringa samma mängd processorkraft om det fick lite längre tid på sig.
Det finns med största säkerhet en hel del pengar att hämta för den som lyckas upprepa forskarlagets bedrift. När väl själva rotcertifikatet har konstruerats kan du utfärda hur många falska certifikat du vill. Forskarlaget har till och med publicerat ditt falska rotcertifikat, men för att hindra att någon missbrukar det har de med stämplat det med en gammal giltighetstid; du måste ställa tillbaka klockan i datorn till 2004 för att bli lurad av deras falska certifikat. Med vår liknelse med ID-kort så stämplar forskarlaget alla sina falska ID-kort med ordet TEST i stora röda bokstäver.
Vad händer nu?
Artikeln skrevs för ungefär ett år sedan, men det är inte lätt att göra något åt problemet. Microsoft skulle kunna skicka ut en säkerhetsuppdatering som tog bort alla rotcertifikat som är av den typ som går att förfalska, men då skulle massor av legitima webbplatser sluta fungera.
Jämfört med ID-kort; Bara för att någon har byggt en tryckpress som gör falska körkort kan inte hela samhället sluta acceptera körkort som legitimation över en natt. Först måste alla som använder körkort få möjlighet att skaffa sig en ny, modernare legitimation.
Tills vidare gäller det att vara extra uppmärksam på eventuella avvikelser i din Internetbank. Det är som tur är ändå MYCKET svårt att skapa en falsk internetbank som känns och ser ut exakt som den du är van vid…