Vi läser om det ena lyckade intrånget efter det andra och kan konstaterar kort “att de aldrig lär sig”. Merparten av intrången är möjliga på grund av att det slarvas, medvetet eller omedvetet. Få intrång använder teknisk finess. Varför skulle man använda teknisk finnes när det inte behövs? Vilken väg väljer den vanlige inbrottstjuven? Vanligtvis den enklaste. Vad sägs om den öppna dörren? I den digitala världen är den öppna dörren inte sällan skyltad…
Trots vetskapen om att var och varannan är sårbar, vilket skall ses i en tid av kraftigt ökad kriminalitet på nätet, så fortsätter slarvet. Vi förflyttar dock oss sakta i en bättre riktning. Det tar inte längre ett år (för alla) att täppa till en känd sårbarhet, åtminstone inte i en exponerad Windowsbaserad webb som har automatiserade uppdateringsrutiner. Det har helt enkelt blivit enklare att patcha och då patchas det snabbare och i större utsträckning.
Om sårbarheter i operativsystem och underliggande tjänster förhoppningsvis snart tillhör historien, så finns det ny terräng för den illvilliga. Ett av de bättre exemplen är alla PKI-byggen som helt saknar struktur. Ett PKI som skall andas förtroende, kanske enbart byggs i syfte att släcka den “irriterande” certifikatvarningsrutan som kommer upp i webbläsaren. En PKI som skall andas tillit, har en root-nyckel som sedan länge är på vift.
Detta då kunskapen om varför en privat nyckel är och förblir en hemlighet helt enkelt saknas. Kanske är det inte märkligt att det är så illa med tanke på att gemene man tror att det är certifikatet man skall vara rädd om…
I jakten på att släcka certifikatvarningsrutan så är givetvis ett alternativ att välja billigast tänkbara certifikat. Det är kanske ingen nyhet att även kommersiella byggen kan vila på högst tveksamma grunder i jakten på snabba pengar. Bästa exemplet just nu är väl Comodo där illvilliga lyckats utfärda certifikat, vilket kort och gott kräver tillgång till den privata nyckeln. Den delen av nyckelparet som man skall vara rädd om och hålla hemlig. Inte tvärt om.
I den vanliga världen skulle vi inte anförtro våra barn med att förvara nyckeln till familjens bankfack, trots att barn redan i tidig ålder förstår att en nyckel skall man vara rädd om. De har helt enkelt inte den struktur och de rutiner som ett sådant ansvar är förenat med och de kan heller inte förväntas ha det.
Boenden på en gemensam adress, kanske ett större hyreshus, skulle sannolikt inte acceptera att de hade samma nyckel till alla lägenhetsdörrar. I den digitala världen kan vi av någon märklig anledning tänka i de banorna.
Låt inte arbetet med att flytta positionerna i det ständiga säkerhetsförbättringsarbetet leda i en riktning som gör att den illvillige ges nya möjligheter. Välj inte genvägar om du inte vet vad det innebär, och när du faktiskt ges möjlighet: håll hårt i nycklarna!
Thomas Nilsson
