Samma gamla certifikat får nya regler

Att köpa ssl-certifikat till sina nätfiskesidor för att
göra dem mer trovärdiga har blivit mer regel än undantag för brottslingarna på nätet.

Och brottsligheten bara ökar – varje månad förra året, utom december, ökade antalet rapporterade nätfiskeattacker, och i december rörde det sig om över 28 000 unika fiskesidor som i snitt var aktiva i fyra dagar. En försvarlig del av dessa hade alltså legitima ssl-certifikat.

Hur har vi försatt oss i den här situationen? Processen som den ser ut idag är att en webbplats köper ett secure sockets layer-certifikat (ssl) från ett betrodd utgivare, så kallad certificate authority (ca). Tanken är att surfarna ska få ett intyg på att man kan lita på webbplatsen och våga utföra ekonomiska transaktioner där. Om en webbsida utfärdat sitt eget certifikat i stället för att köpa ett från ett ca-företag varnar webbläsaren.

Ca-företagen utfärdar dock inte certifikat hur som helst, utan kontrollerar köparen först – men vad de undersökt och hur grundligt är inget som surfarna märker när de besöker den certifierade sidan. För att få ett ssl-certifikat utfärdat av en betrodd ca krävs i praktiken bara att du står registrerad som kontaktperson för domänen.

Fem till tjugo gånger dyrare

Ett antal intressenter i branschen har därför skapat organisationen CA Browser Forum, och kommit fram till att det behövs regler för hur certifikat får utfärdas.

Vanlig ssl. En sida med ett vanligt ssl-certifikat visar hänglåset, men adressfältet byter inte färg.

Forumet hade två alternativ: att införa extra kontroller på de befintliga ssl-certifikaten eller att skapa en ny typ av certifikat med extra kontroller. Extra kontroller kostar pengar, och ca-företagen skulle därför få ta mer betalt av sina kunder. Det här skulle bli svårt att motivera för kunderna, kände man, så forumet valde att skapa en ny standard, extended validation ssl (ev ssl), som ca kan ta mer betalt för.

Kostnaden för ett vanligt ssl-certifikat ligger på mellan 150 och 5 000 kronor per år för en server. Motsvarande ev-certifikat kostar mellan 3 500 och 25 000 kronor. Ca-företagen har fått hård kritik för det höga priset, och frågan är om det verkligen bara motsvarar kostnaderna för de extra kontrollerna.

Inga tekniska skillnader

I oktober förra året släppte CA Browser Forum utkast 11 av ”Guidelines for extended validation certificates”, som Microsoft nu har infört i Internet Explorer 7. Ca-jätten Verisign lanserade i december det första ev ssl-certifikatet, och flera företag kom med lösningar under början av 2007. Paypal var bland de första som köpte ev-certifikat.

Tekniskt sett är det inga skillnader mellan ev ssl och vanlig ssl. Skillnaden ligger bara i regler för hur certifikaten får ges ut, vad som ska granskas och vilka riktlinjer som gäller när webbläsarna presenterar dem.

För att få utfärda ev-certifikat måste ca-företagen anamma riktlinjerna för standarden och underkasta sig en granskning av Webtrust. När man ansöker om ett certifikat ska det kontrolleras att man har rätt till domänen. Organisationens identitet ska styrkas, liksom att den sökkande är anställd i den och har befogenheter att ansöka. Alla kontrollerna finns dokumenterade i ett 57-sidigt regelverk.

I ett ev-certifikat finns en ”ev policy information object identifier” lagrad (oid). Webbläsarna jämför denna med de certifikat som finns lagrade som betrodda. Om strängen stämmer med ett betrott certifikat anpassar webbläsaren sin presentation för att tydligt visa att sidan är godkänd.

I Internet Explorer 7 visas det här genom att adressfältet byter färg till grönt. Vid fältet finns också hänglåset som visar att ssl används. Bredvid hänglåset visas namnet på företaget som har registrerat sidan och det land där det är baserat. Färgen på adressfältet ska hjälpa användarna att skilja legitima sidor från fiskeförsök.

Ev ssl. En sida med ev-certifikat färgar adressfältet grönt, och företagsnamnet visas till höger tillsammans med landet där det är registrerat.

Inte överens om standarden

Medlemmarna i CA Browser Forum har inte lyckats komma överens, och utkast nummer 11 av ev ssl blev inte godkänt av en majoritet. Mozilla, till exempel, underkände utkastet för att det begränsade vilka som kan få certifikat.

Microsoft valde ändå att implementera utkast 11 i Internet Explorer 7, och eftersom de har så stor marknadsandel har många ca-företag börjat sälja ev ssl-certifikat trots att det ännu saknas en godkänd standard. Hur och när övriga webbläsare planerar att införa stöd för ev ssl är oklart.

Meningsskiljaktigheterna märktes också när Tim Callan från Verisign intervjuades i högröstade brittiska The Register. Han kritiserade Mozilla för att inte hänga med i utvecklingen och kallade öppen källkodsrörelsen för en ”lös samling tekno­anarkister”. Sådana här motsättningar kan försvåra vidareutvecklingen av regelverket, och i värsta fall blir ev ssl aldrig standardiserat.

Nästa fråga är hur pass säker godkännandeprocessen för ev ssl är, och om brottslingar kommer att kunna köpa certifikat. Helt klart är i alla fall att det blir svårare att få ev-certifikat, och det enklaste för brottslingarna blir troligen att använda andra metoder, exempelvis trojaner. Skulle de ändå lyckas komma över certifikat ger den ökade säkerheten slutkunderna en större falsk trygghet, vilket skulle kunna innebära att fler blir lurade av nätfisket.

Ev-certifikat stoppar inte trojaner som spelar in lösenord, en metod som använts exempelvis mot Nordea. Trojaner kan dessutom användas för mer raffinerade så kallade mannen-i-mitten-attacker mot säkerhetsdosor.

Microsoft Research och Stan­ford-universitetet släppte i januari
resultatet av en gemensam utvärdering av säkerheten i ev ssl, och deras slutsats var att det inte skulle få någon betydande effekt på säkerheten.

Genom så kallade bild-i-bild-attacker lyckades de lura användare att en falsk sida hade ett godkänt ev-certifikat. Med javascript konstruerades ett Internet Explorer-fönster som visade ett falskt, grönt adressfält. Undersökningen visade dessutom att användarna inte fäste så mycket vikt vid färgen på adressfältet.

Filter behövs alltjämnt

Men det finns fler sätt att bekämpa de fula fiskarna. Webbläsarna använder filter, som inte är en del av ev ssl men likafullt kontrollerar legitimiteten på webbsidor och ändrar färg på adressfältet. Tidigare var det här separata program, men nu finns funktionen inbyggd i alla stora webbläsare.

Microsofts filter. När man hamnar på en nätfiskesida som har svartlistats av Microsoft visas ett rött adressfält och
sidan spärras. Funktionen kommer dock inte från ev ssl,
utan är en del av nätfiskefiltret i Internet Explorer.

Filtret i Internet Explorer färgar adressfältet gult om den besökta sidan är misstänkt – det letar på heuristisk väg efter nätfiskeliknande beteende. Om en sida är svartlistad av Microsoft blir adressfältet rött och sidan spärras. Det finns också funktioner för att anmäla misstänkta sidor, men för att de ska svartlistas måste de granskas manuellt av någon på Microsoft.

Filtret i Internet Explorer måste sättas på manuellt, det är inte på som default. Just att sidorna kontrolleras mot Microsofts serv­rar har fått en del att reagera, och det är troligen därför filtret kräver manuell aktivering.

Liknande filter finns i Firefox, Net­scape och Opera. De skiljer sig lite åt i fråga om filtreringsteknik (svartlistning, vitlistning, heuristik) och hur de presenterar sin varningar.

Nya certifikat automatiskt

För att ev ssl ska fungera i Internet Explorer 7 måste man installera nya certifikat. I Vista finns en funktion som uppdaterar ca-certifikaten automatiskt – detta saknas i XP, men det går att konstruera sin sida så att Internet Explorer tvingas leta efter nya rotcertifikat på Windows Update.

Microsoft har publicerat ett dokument som beskriver hur man då ska gå tillväga. För att ev ssl ska fungera måste också nätfiskefiltret i Internet Explorer vara påslaget.

Det är inte lätt att skapa en lösning som skyddar användaren helt från att bli bestulen. Ev ssl stoppar inte alla typer av angrepp och medför också en del nya problem.
Om ev ssl blir populärt kommer även mindre företag att tvingas köpa de dyrare certifikaten för att kunderna ska uppfatta dem som säkra. Det är inget problem så länge ev ssl faktiskt ger en högre säkerhet – men frågan är om säkerheten blir tillräckligt mycket högre för att motivera kostnaden.

Fler specialiserade trojaner

I dagsläget kan inte mindre företag, organisationer och privatpersoner skaffa ev ssl-certifikat. Det finns också en osäkerhet kring hur reglerna ska se ut i olika länder som har olika regler för att registrera företag.

Markellos Diorinos, produktansvarig för Internet Explorer, har föreslagit att de som inte har möjlighet att ansöka om ev ssl-certifikat i stället ska kunna använda en tredje part för att sköta transaktionerna, exempelvis ett hostingföretag. Då måste dock det företaget kunna säkerställa att kunden inte nätfiskar med certifikatet. Det är som synes inget sätt att lösa problemet, det bara flyttar ansvaret.

Brottslingar som stjäl pengar genom nätfiske är ofta organiserade i eller finansierade av professionella kriminella organisationer. Attackerna utförs normalt på enklast möjliga sätt. Med ökad medvetenhet, säkerhetsdosor och ev ssl-certifikat kommer brottslingarna att tvingas anpassa angreppen. Nätfiske via e-post har varit det vanligaste hittills, men nu har det även börjat dyka upp specialskrivna trojaner.

Tyvärr är det omöjligt att ta fram en helt säker lösning. Det är bäst att vi är beredda på mannen-i-mitten-attacker mot våra säkerhetsdosor och bild-i-bild-attacker mot ev sl-certifikat.
Ev ssl är dock säkrare än vanlig ssl, och det är absolut välkommet med regler för hur certifikat får utfärdas. Samtidigt medför ev ssl nya problem, och skyddar inte mot allt.

Eventuellt kan företag som är särskilt utsatta tjäna på att skaffa ev-certifikat, men då måste de vara medvetna om att inte heller det är någon heltäckande lösning.