Edward Snowdens avsløringer om massiv overvåkning har ført til økt søkelys på kryptering av data som sendes over internett. I kjølvannet av dette oppstod Let's Encrypt-iniativet, som skal gjøre det enklere for nettsteder å kryptere overføringen av dataene ved å ta i bruk HTTPS-protokollen. Terskelen senkes ytterligere ved at Let's Encrypt i tillegg tilbyr de nødvendige sikkerhetssertifikatene helt gratis.
Dessverre er det ofte slik at gode tilbud blir misbrukt.
Skadevare
Sikkerhetsselskapet Trend Micro oppdaget noen dager før julaften i fjor at i alle fall ett nettsted som sprer skadevare via ondsinnede annonser har tatt i bruk et sertifikat fra Let's Encrypt for bedre å skjule hva som egentlig foregår.
I denne «malvertising»-kampanjen, som pågikk helt fram til nyttår, ble brukerne ledet til nettsteder som var verter for angrepsverktøyet Angler Exploit Kit, som i dette tilfellet distribuerte en banktrojaner.
Angler Exploit Kit bruker ofte en teknikk som kalles for «domain shadowing», som handler om å stjele innloggingsinformasjonen til domenekontoer for å kunne opprette subdomener til legitime domenenavn. Men trafikken til subdomenet ledes en server som angriperne kontrollerer.
I det tilfellet som Trend Micro omtaler, hadde angriperne i tillegg fått opprettet et sikkerhetssertifikat for Let's Encrypt til det aktuelle subdomenet.
Tilsynelatende legitimt
Ikke bare ble trafikken kryptert, noe som kan gjøre det vanskeligere for sikkerhetsverktøy å oppdage den ondsinnede lasten. I tillegg kunne innholdet framstå som legitimt for mottakeren fordi det stammet fra en kilde som tilsynelatende var relatert til et legitimt nettsted.
Trend Micro, som selv er en sertifikatautoritet (CA), mener at dette problemet er uunngåelig så lenge en sertifikatautoritet automatisk utsteder sertifikater uten omfattende sjekking.
Ikke nok innsikt
Men Josh Aas, administrerende direktør for Internet Security Research Group, som administrerer Let's Encrypt-prosjektet, skrev allerede i fjor høst at sertifikatautoriteter ikke har god nok innsikt til å fungere som bekjempere av phishing og skadevaredistribusjon.
– Det beste CA-er kan gjøre, er å sjekke med organisasjoner som har mye mer bevisste på innhold, slik som Microsoft og Google. Google og Microsoft konsumerer enorme mengder med data om weben fra massive infrastrukturer for crawling og rapportering. Disse dataene lar dem bruke komplekse maskinlæringsalgoritmer (utviklet og driftet av dusinvis av personer) for å identifisere ondsinnede nettsteder og innhold, skriver Aas.
Let's Encrypt bruker derfor Google Safe Browsing API til å sjekke om nettsteder er flagget som phishing- eller skadevarenettsteder før sertifikater utstedes.
