Så var man tillbaka på hotellet efter tredje dagens upplevelser på RSA-konferensen.
Dagen började vi med att ta del av diverse livehack på traditionella operativsystem, “smarta prylar”, en röstinlämningsmaskin och diverse industriella kontrollsystem. När man sätter hacket på en elektronisk röstmaskin i relation till vilka risker en demokrati utsätts för om denna typ av system inte har tillräcklig hygienfaktor och förmågan att hantera de krafter som har förmåga och motiv att potentiellt påverka utgången av demokratiska val. Det torde vara något att ta lärdom av i samtliga länder som strävar efter att upprätthålla demokratibegreppet i både teori och praktik.
Nästa punkt på agendan var en diskussion om ett ämne som undertecknad haft en och annan synpunkt på under de senaste åren, nämligen den förvirrande oordning som råder mellan webbläsartillverkare och publika certifikatutfärdare. Vi har sett en alltmer divergerande förhållning mellan hur webbläsare presenterar TLS-anslutningar till/från webbplatser utifrån vad det är för typ av certifikat och organisation som står bakom webbplatsen och dess associerade certifikat. Vi har ju olika typer av certifikat som används på Internet där valideringen av beställaren i stigande grad går från domänvaliderad (DV), organisationsvaliderad (OV) till utökad validering (EV). Från att webbläsartillverkarna hade en någorlunda gemensam filosofi för hur man i alla fall skulle representera anslutningar till webbplatser med ett EV-certifikat har vi med åren gått till ett läge idag där det inte finns två olika webbläsare som presenterar detta på ett liknande eller förståeligt sätt för en slutanvändare.
För en mindre insatt användare är det ju helt klart förståeligt att det kan vara svårt att avgöra vad som kan anses vara en betrodd webbplats eller inte baserat på vad webbläsaren signalerar på olika typer av enheter. Det är inte en slump att illasinnade krafter fyller Internet med diverse bluffsiter och förser dessa med DV-certifikat (gärna kryddat med extra många bilder på hänglås på själva webbplatsen) i syfte att distribuera skadlig kod, stjäla autentiseringsuppgifter och andra otrevligheter. Fundera exempelvis på hur många domäner som är snarlika de domäner som används av exempelvis banker, betaltjänster, sociala medier och andra populära måltavlor för angripare. Jag tänker naturligtvis inte länka till några sådana men den med tillgång till en Internetansluten dator med en operativsysteminstans som man inte är rädd om kan via sökmotorer och/eller felstavningar i URL:er ge sig ut på en surftur som löper över Internets digitala vågor av brinnande avfall.
Nu har Google fått nog och föreslår att webbläsaren ska bli binär i sin redovisning av TLS-anslutningar, antingen “dålig” eller “bra”. Min reflektion är dock att man med det förslaget likställer DV-certifikat med OV- och EV-certifikat och därmed fortsätter blanda korv och grönsaker i samma gryta och kallar det för fruktsallad. Här behövs större eftertanke om man inte ska kräva att samtliga användare av en webbläsare ska ha förmåga och förståelse att utvärdera olika valideringsnivåer vid utfärdande av certifikat och sätta detta i relation till Internets sophög med webbplatser vars syften är onda. Det är självklart inte enbart kvaliteten på ett certifikat som avgör huruvida en webbplats är tillförlitlig eller ej men branschen kan ju åtminstone försöka att låta bli att förvirra slutanvändare utan istället göra det klart om en anslutning görs till en webbplats som har högre chans att vara tillförlitlig än andra. När man ändå är inne på ämnet vet ni som känner mig att jag direkt tänker på nyckelskydd vid användning av certifikat men den utläggningen låter jag bli denna gången.
Slutligen besöktes Ira Winklers pass där han pratade om hur mänskligt beteende alltmer exploateras av angripare. Min personliga reflektion är varför man oroväckande ofta ser IT-miljöer där enkilda musklick/tryck på en länk kan leda till att stora delar av en IT-miljö på sikt blir angripen? Varför är man inte mer restriktiv med behörighetstilldelning? Varför segmenterar man inte underliggande nätverk? När man försöker höja säkerhetsmedvetande hos personal, varför är det så ofta isolerat enbart till datoranvändning och inte även till den fysiska vardagen och dess säkerhetsrisker? Varför fokuserar man inte mer på att uppmuntra goda beteenden istället för att ensidigt exemplifiera med enbart dåliga beteenden? Listan kan göras lång och jag tycker det är värt mer än en tanke.
Conny Balazs
