Möller Insights - vecka 47

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på McAfee i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om signed malware och dess konsekvenser

Programmen som visar falskleg
Nu i veckan släpptes McAfees kvartalsrapport om digitala hot, och den starkaste trenden under sommaren har varit en explosionsartad ökning av signed malware – skadliga program som försetts med ett digitalt certifikat, antingen förfalskat eller stulet från en av de hundratals certifikatauktoriteter som finns världen över.

De vanligaste tillfällena när du och jag kommer i kontakt med digitala certifikat – och faktiskt märker det - är när vi gör våra bank- och e-handelsärenden. Det där lilla låset som dyker upp i browserns adressfönster är en indikator på att sidan är certifikatskyddad. Eller när vi landar på en sida och säkerhetsmjukvaran varnar för certifikatfel.

Det fanns en tid då företags IT-infrastrukturer ofta släppte igenom all programvara som var försedd med certifikat, eftersom skadlig programvara saknade dem. Som tur är har explosionen av signed malware inte gått obemärkt fram men det förtjänar ändå att påpekas med tanke på den snabba utvecklingen. Och med tanke på att certifikaten är hårdvaluta för IT-brottslingar. Med ett falskt certifikat kan en sajt man tror sig befinna sig på i själva verket vara en helt annan, en där man definitivt inte bör skriva in sina lösenord eller sitt kreditkortsnummer…

Sedelärande berättelse
Certifikatauktoriteter har av uppenbara skäl höga krav på säkerhet. Men incidenter är ändå inte ovanliga – senast stals certifikat nu i sommar mot Opera Software, och spår från dessa  stulna certifikat finns i många av de nya skadliga program som dykt upp.

Ett av de mest förödande IT-intrången i modern tid förövades just mot en sådan certifikatauktoritet,  DigiNotar. Det var ett nederländskt privat företag som delade ut certifikat både i eget namn och å den nederländska regeringens vägnar.

I januari 2011 köptes DigiNotar upp av ett annat säkerhetsföretag för drygt 80 miljoner kronor.
Den 17 juni 2011 skedde ett säkerhetsintrång via den oskyddade DMZ som DigiNotar använde för internt bruk. Efter ett par veckor hade angriparen – fortfarande oupptäckt – tagit sig in till de säkra servrarna, även de som inte var direkt anslutna till internet. Mellan den 1 juli och 22 juli hade angriparen full kontroll över företagets certifikatservrar – både för att plocka ut information och dölja spår.
Den 19 juli 2011 upptäcktes till slut att något var fel i DigiNotars datasystem. En intern utredning tillsattes men inget kommunicerades utåt.
I augusti 2011 började internetanvändare i Iran drabbas av intrång mot sina Gmail-konton. Det visade sig snabbt att det var DigiNotars Google-certifikat som användes för att lura användarna att lämna ifrån sig sina inloggningsuppgifter. Samma historia upprepades med andra högprofilerade sajter. Först då gick DigiNotars ägarföretag ut och bekräftade intrånget som man hade vetat om i över en månad… men att det inte var någon fara och allt strax skulle vara fixat. Den nederländska regeringen höll inte med och drog genast in alla DigiNotar-certifikat på sina egna sajter, samtidigt som man ställde företaget under tvångsförvaltning och varnade allmänheten att de statliga sajterna inte kunde betraktas som säkra. Ingen kul dag för en IT-minister.
I september 2011 gick DigiNotar i konkurs.

I oktober 2012 kom så den slutgiltiga rapporten om intrångets skadeverkningar; den är intressant läsning och visar på en skrämmande aningslöshet både när det gäller att intrånget kunde tillåtas hända och att det först förtegs och sedan tonades ner. Att Nederländernas regering reagerade snabbt och kraftfullt är däremot hoppingivande.

Min amerikanske kollega Kevin J Reardon har skrivit mer utförligt om den här historien i boken Security Battleground. Om någon vill ha en riktig rysare att läsa i höstmörkret.

En ljuspunkt i sammanhanget är att DigiNotar-affären både ledde till en större insikt om hotet och en snabb prioritering att hitta effektiva motmedel. Större kontroll och ett rigidare regelverk för certifikatauktoriteter står numera högt på den IT-politiska agendan. Från säkerhetsföretagens sida är det förstås också en hög prioritet att bekämpa attacker från malware – både med och utan digital signatur – som även omfattar ett sandbox-läge där misstänkt kod tvingas visa vad som döljer sig bakom falskleget. I oktober lanserade vi McAfee Advanced Threat Defense som kombinerar möjligheten att snabbt finna, frysa och förinta skadliga program. Tills ännu bättre övergripande kontroll av digitala certifikat är på plats är den typen av dörrvakt det bästa försvaret.