https


Projektet Let’s Encrypt öppnade i december upp sin certifieringstjänst – alla ska nu kunna skaffa sig en gratis https-adress. Men inte ens en månad hann passera innan cyberbrottslingarna började utnyttja dem för sina egna mörka syften.

Sedan lanseringen har säkerhetsföretaget Trend Micro hållit ett vakande öga över skadliga sajter som skulle kunna använda Let’s Encrypts tjänster. Och onsdagen innan jul hittade de en sådan, rapporterar IDG News. En legitim sida hade äventyrats. Där hade en annons med skadlig kod lagts upp som ledde till en server kontrollerad av brottslingarna själva, skriver säkerhetsföretaget i sin blogg.

Läs också: Microsoft-chef: Använd Windows 7 på egen risk

På angriparnas sajt huserade Angler, ett exploateringskit som letar efter sårbarheter i mjukvaran för att installera skadlig kod. Sajten använde sig av ett SSL/TLS-certifikat, ett certifikat utfärdat av Let’s Encrypt.

Projektet, som backas av både Mozilla och Cisco, är en del i bredare rörelse för att förbättra säkerheten på internet. Det är möjligt att återkalla certifikat, men Let’s Encrypts policy är att inte göra så. Bland annat baserat på att de inte anser att tillsynsorganisationer, Certificate authorities (CA), har förmågan att kontrollera innehållet. De använder än så länge endast Google Safe Browsing API för att säkerställa att de sajter som använder tjänsten inte är flaggad som skadlig.

Säkerhetsexperten Joseph Chen är av en annan åsikt. Certifikatorganisationer borde i själva verket dra tillbaka certifikat till illa sinnade parter som utnyttjar sårbarheter för brottslighet, anser han.

Läs också: Nytt virus stjäl dina hemliga filer och hotar att publicera dem

Josh Aas, ansvarig på Internet Security Reserch Group som driver Let’s Encrypt, skriver i ett mejl till IDG News att även om certifikatet skulle kunna utnyttjas igen så är det inte troligt att angriparna skulle lyckas. Domänen är känd som en skadlig sajt. De skulle dock kunna generera nya för andra domäner, vilket skulle vara svårt för vilken organisation som helst att stoppa enligt Aas. Ingen kan upptäcka och agera snabbt nog, skriver han. Ett alternativ som han ser är att de som förmedlar och säljer reklamplats online inför interna kontroller för att stoppa skadliga annonser.

Läs också: Stoppa Advanced Persistent Threats.