Av
Webbcertifikat används i huvudsak för två syften, för identifiering och för att upprätta kryptering. En Janusattack innebär att en hackare i smyg kopplar in sig på en förbindelse mellan två punkter och fångar upp den information som skickas.
Genom felkonfigurerade certifikat undergräver stora företag, kommuner och organisationer säkerheten på webben.
Problemet är omfattande och CS kartläggning visar att Stockholms universitet, Sveriges största webbhotell FS Data, Karlskoga kommun och högskolan i Skövde återfinns bland dem som försummar säkerheten.
Några ursäkter till bristerna finns inte. Problemen är enkla att åtgärda. Certifikaten i sig är ofta giltiga, men de är utställda på fel webbadresser. Eller så stämmer inte datumet.
Resultatet blir en varning i webbläsarna Internet Explorer och Firefox. Det lurar besökaren till ett riskbeteende när de bli vana vid varningarna och slentrianmässigt klickar förbi dem. Sedan en dag blir hotet verklighet.
– Konsekvenserna av slarvig användning av certifikat hos den som har tjänster på webben bidrar till att undergräva trovärdigheten av de säkerhetslösningar som ändå finns att tillgå, säger Anne-Marie Eklund Löwinder, informationssäkerhetsansvarig på Stiftelsen för internetinfrastruktur.
Tomas Olovsson, säkerhetsexpert och universitetslektor vid Chalmers, tycker att problemet är allvarligt.
– Visst finns det sajter som har certifikatproblem. Jag skulle aldrig göra någon form av affärer med en sådan sajt eller ens lämna någon information där, säger Tomas Olovsson.
Louise Yngström är professor i data och systemvetenskap vid Institutionen för data- och systemvetenskap på Stockholms universitet, en organisation som slarvat. Hon tackar för påpekandet och säger att Stockholms universitet ska se över situationen med certifikaten.
– Troligen är det bättre med ingen säkerhet än dålig säkerhet, säger Louise Yngström.
Gitte Bergknut, säkerhetsspecialist inom koncerninformation på Eon i Sverige, känner till en incident där ett bolag missade att förnya certifikatet för en e-handelslösning mellan företag. Det rörde företagshemlig information som inte fick skickas okrypterat.
– Resultatet blev förseningar och uteblivna intäkter för verksamheten, säger Gitte Bergknut.
Konsekvensen av slarvet med certifikaten kan få förödande konsekvenser.
– Det är ett relativt omfattande problem. Jag skulle vilja påstå att det i dag är ganska enkelt att göra en Janusattack (se faktarutan) som resultat av det här, säger Jakob Schlyter, it-säkerhetskonsult på Kirei.
Han får medhåll av Marcus Murray, säkerhetskonsult på Truesec.
– Det finns enkla verktyg som Cain som kan göra en sådan attack utan att angriparen har djupare kompetens, säger Marcus Murray.
Problemet är omfattande och CS kartläggning visar att Stockholms universitet, Sveriges största webbhotell FS Data, Karlskoga kommun och högskolan i Skövde återfinns bland dem som försummar säkerheten.
Några ursäkter till bristerna finns inte. Problemen är enkla att åtgärda. Certifikaten i sig är ofta giltiga, men de är utställda på fel webbadresser. Eller så stämmer inte datumet.
Resultatet blir en varning i webbläsarna Internet Explorer och Firefox. Det lurar besökaren till ett riskbeteende när de bli vana vid varningarna och slentrianmässigt klickar förbi dem. Sedan en dag blir hotet verklighet.
– Konsekvenserna av slarvig användning av certifikat hos den som har tjänster på webben bidrar till att undergräva trovärdigheten av de säkerhetslösningar som ändå finns att tillgå, säger Anne-Marie Eklund Löwinder, informationssäkerhetsansvarig på Stiftelsen för internetinfrastruktur.
Tomas Olovsson, säkerhetsexpert och universitetslektor vid Chalmers, tycker att problemet är allvarligt.
– Visst finns det sajter som har certifikatproblem. Jag skulle aldrig göra någon form av affärer med en sådan sajt eller ens lämna någon information där, säger Tomas Olovsson.
Louise Yngström är professor i data och systemvetenskap vid Institutionen för data- och systemvetenskap på Stockholms universitet, en organisation som slarvat. Hon tackar för påpekandet och säger att Stockholms universitet ska se över situationen med certifikaten.
– Troligen är det bättre med ingen säkerhet än dålig säkerhet, säger Louise Yngström.
Gitte Bergknut, säkerhetsspecialist inom koncerninformation på Eon i Sverige, känner till en incident där ett bolag missade att förnya certifikatet för en e-handelslösning mellan företag. Det rörde företagshemlig information som inte fick skickas okrypterat.
– Resultatet blev förseningar och uteblivna intäkter för verksamheten, säger Gitte Bergknut.
Konsekvensen av slarvet med certifikaten kan få förödande konsekvenser.
– Det är ett relativt omfattande problem. Jag skulle vilja påstå att det i dag är ganska enkelt att göra en Janusattack (se faktarutan) som resultat av det här, säger Jakob Schlyter, it-säkerhetskonsult på Kirei.
Han får medhåll av Marcus Murray, säkerhetskonsult på Truesec.
– Det finns enkla verktyg som Cain som kan göra en sådan attack utan att angriparen har djupare kompetens, säger Marcus Murray.
(
Försäkringskassan... - (Waxad) 2008-05-21 11:44
Surftown - (Lars) 2008-05-21 12:00
Surftown - (falafeln) 2008-05-21 12:17
Surftown - (Mr.Information) 2008-05-21 12:23
Till er som kan... - (mrpijey) 2008-05-21 12:33
Till er som kan... - (Mr.Information) 2008-05-21 12:42
Ett problem - (Nils H) 2008-05-21 12:43
Till er som kan... - (Barbapappa) 2008-05-21 13:16
Surftown - (Right!) 2008-05-21 13:34
Till er som kan... - (Right!) 2008-05-21 13:41