Kuka pelkää pahaa saittia – osa: ”ei kohta enää kukaan”

18266850_m

Paha ”saitti” ei ole vain paha uni, vaan todellisuutta.

Vuonna 2016 kirjoitin artikkelin otsikolla ”Kuka pelkää pahaa saittia?”. Tuo kyseinen artikkeli löytyy täältä ja on edelleen ajankohtainen. Ehkä ajankohtaisempikin kuin tuolloin. Artikkelissa kerrotaan kuinka selainvalmistajat suojaavat käyttäjiään ominaisuuksilla, jotka varoittavat siirtymästä turvattomiksi raportoiduille sivustoille. Tämä on hyvä asia, mutta nyt selaimet luokittelevat kaikki SSL/TLS-varmennetta käyttävät sivut turvallisiksi, ottamatta kantaa siihen, onko kyseessä rikollisten pystyttämä tietojen kalastelusivusto vai ei. Eikä siinä vielä kaikki, vaan Google ..

.. ja Mozilla aikovat poistaa (Chrome versio 77 ja Firefox versio 70) EV-varmenteella suojatun sivuston indikaattorin selaimistaan.

Alan medioissa on esitetty useita PayPal maksupalveluun liittyviä väärennettyjä sivustoja. PayPal on ollut yksi suosituimmista väärennettyjen kalastelusivustojen kohteista. Monet pankit ja liikelaitokset ovat myös joutuneet väärennösten uhreiksi. Uhreiksi siinä mielessä, että heidän laillisten sivustojensa kaltaisia nimiä on käytetty rikolliseen tietojen kalasteluun. Yksi esimerkki, joka on jo poistettu internetistä, oli: paypal.com.webapps-mpp-accounts.com, jolle ilmainen Let’s Encrypt oli myöntänyt varmenteen. Tästä kirjoitimme aiemmin.

Pitääkö olla huolissaan?

No pitää. Elämme kiireisiä aikoja. Aina ei ihminen arkisten askareittensa parissa tule tarkkaan katsoneeksi minne internetin ihmeellisessä maailmassa eksyy. Saatat saada sähköpostin, joka vaikuttaa saapuneen aidon oloisesta lähteestä ja klikkaamalla sen sisältämää linkkiä saatat päätyä rikollisten pystyttämälle sivustolle. Näennäisesti sivusto näyttää oikealta. Logot, tekstit ja jopa sisäänkirjautumisvalikot näyttävät oikeilta. Tarkistat tietenkin, että sivustolla on lukko (padlock ), joka kertoo sivuston olevan suojattu. Tai vielä pahempaa: Selain sanoo, että sivusto on turvallinen!? Tämä on tätä päivää, esim. Googlen suosittu Chrome-selain sanoo sivuston olevan ”Secure”, ottamatta kantaa siihen oletko rikollisten sivustolla vaiko omassa pankissasi.

Tästä varoittava esimerkki myöhemmin artikkelissa.

Katsotaanpas hieman tilastoa siitä, miten verkkoliikenteen turvaaminen varmenteilla koetaan:

DV varmenteiden (eli heikoimman validointitason ja ilmaisten varmenteiden) käyttö kalastelusivustoilla korostuu järkyttävästi. 98% kalastelusivustoista käyttää varmenteita, joista ei pysty näkemään palveluntuottajan identiteettiä. Voi vaan kuvitella miten suuren edun verkkorikolliset saavat ohjaamalla pahaa-aavistamattoman käyttäjän aidonnäköisellä kalasteluviestillä kalastelusivustolleen.

Samaan aikaan kysyttäessä organisaatioilta mitä varmenteen halutaan kävijöille kertovan:

Ykköseksi nousee IDENTITEETTI. Halutaan osoittaa, että olemme se, kuka väitämme olevamme. Tähän asti tuo tieto on ollut helposti nähtävillä, ilman käyttäjän ylimääräisiä toimia:

Entä jos osoite näkyisi selaimessa näin..

Google Chrome selain

.. ja verkkorikollinen olisi rekisteröinyt verkko-osoitteen ssI-apua.fi (ssi-apua.fi, iso ii-kirjain näyttää pieneltä L-kirjaimelta näytöllä ). Verkkorikollinen voisi ohjata ihmiset kirjautumaan omille sivuilleen, jotka näyttäisivät aivan yhtä turvallisilta kuin oikeatkin sivut.

Eikö internet-liikenteen salaaminen ilmaiseksi olekaan hyvä asia?

Onhan se. Elämme aikaa jolloin suurin osa internetin sivustoista käyttää salausta. Tämä on hyvä asia, vaikka edellä kuvatut ongelmat ovat nousseet tämän myötä tapetille. Let’s Encrypt on tehnyt loistavaa työtä salauksen edistämiseksi, mutta jos sivustosi kysyy henkilö-, luottokortti-, identiteetti- tai muuta luottamukselliseksi luokiteltavaa tietoa, on sivusto syytä suojata OV / EV varmenteella. Tällöin varmenteesta pystyy tarkistamaan kuka oikeasti sivuston omistaa. Ainakin sellaisella selaimella, joka tuon tiedon tarjoaa suoraan ilman ylimääräisiä klikkauksia.

CA:t (Certificate Authority), jotka varmenteita toimittavat ja vastaavat niiden taustalla olevasta infrastruktuurista, ovat asian tiimoilta pyrkineet jo pitkään esittämään ratkaisuja. Toivottavasti tämä työ tuottaa tulosta ennemmin kuin myöhemmin.

Let’s encrypt and be careful out there..

Lähteitä:

https://www.wesentra.com
https://duo.com/decipher/chrome-and-firefox-removing-ev-certificate-indicators
https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md
https://casecurity.org/2019/08/27/why-are-you-removing-website-identity-google-and-mozilla/

Vastaa