Falske digitale sertifikater utstedt i Microsofts navn

Digitale sertifikater skal være sikre som banken. Men Microsoft advarer at VeriSign har utstedt falske sertifikater i Microsofts navn.

Digitale sertifikater brukes blant annet i forbindelse med nedlastinger av programvare fra web. Ordningen innebærer at sertifikatutstederen, i dette tilfellet VeriSign, går god for at filen som nedlastes stammer fra for eksempel Microsoft, og at den følgelig kan betraktes som fri for ondsinnet kode.

Microsoft advarer at VeriSign har kommet i skade for å utstede to sertifikater i Microsofts navn, til en person som ikke har noe med Microsoft å gjøre. Sertifikatene vil gjøre det mulig for vedkommende å lure folk til å laste ned programvare i den tro at den stammer fra Microsoft. I stedet for å laste ned en oppgradering til for eksempel Internet Explorer, risikerer du å få en inntrenger som gir uvedkommende full kontroll over PC-en din, og i verste fall får tak i passord, brukernavn, bankkontoer og så videre.

VeriSign bekrefter forholdet. Det ble utstedt to sertifikater 29. og 30. januar i år til en person som ga seg ut for å være ansatt i Microsoft. Vedkommende brukte et spesielt webskjema, der det blant annet skal oppgis informasjon om ansettelsesforhold, en sikker referanse, og en kontakt for fakturering. VeriSign innrømmer ikke å ha fulgt normal prosedyre som krever at opplysninger fra skjemaet skal sjekkes.

VeriSign skal ha oppdaget forholdet selv og varslet Microsoft og Federal Bureau of Investigation (FBI) 14. mars. FBI skal ha bedt Microsoft drøye offentliggjøringen av saken av hensyn til etterforskningen.

Sertifikatene er trukket tilbake av VeriSign. Microsoft forbereder en oppgradering av nettleseren Internet Explorer som automatisk sjekker digitale sertifikater, og avviser Microsoft-sertifikater datert 29. eller 30. januar 2001.

I mellomtiden oppfordrer Microsoft alle brukere til å sjekke datoen på digitale sertifikater. Er de utstedt til Microsoft og datert 29. eller 30. januar 2001, dreier det seg om ugyldige sertifikater for programvare som ikke har noe med Microsoft å gjøre.

Tilfellet viser nok en gang at den enkleste måten å knekke teknologiske sikkerhetssperrer, er å manipulere det menneskelige elementet.

VeriSign hevder at de to falske sertifikatene til Microsoft er de eneste feilene som finnes, og at alle de øvrige 500.000 sertifikatene som selskapet har utstedt, kan betraktes som sikre.

Onde tunger mener at den korrekte formuleringen er at det dreier seg om de eneste feilene som er funnet - hittil.

Til toppen