Megint kéretlen tanúsítványok borzolják az idegeket
Belső teszteléshez bocsátott ki a google.com doménre vonatkozú tanúsítványt a Symantec. Az incidens újra borzolja a tanúsítványkibocsátok (CA) és az infrastruktúrától függő cégek idegeit. A Symantec kirúgta a felelősöket, a cég ígérete szerint az emberi hiba lehetőségét a jövőben mérséklik.
Rendkívül súlyos hibát vétett a Symantec, kéretlenül, saját használatra bocsátott ki általános érvényű tanúsítványt egy külső doménre. A cég közlése szerint az alkalmazottak nem követték az irányelveket és belső szabályokat, ennek következtében a cég kirúgta őket. A Symantec szerint
"Szeptember 14-én, 19:20 GMT környékén a Symantec Thawte tanúsítványkibocsátó kiadott egy magas minősítésű (Extended Validation - EV) előtanúsítványt a google.com és www.google.com doménekre. Ezt az előtanúsítványt a Google nem kérte és nem engedélyezte." - kezdődik a Google száraz nyelvű közleménye. A tévesen kibocsátott tanúsítvány mindössze egy napos élettartammal bírt (a nap fennmaradó részére azért a Chrome azonnal feketelistára helyezte), azt támadásra vagy visszaélésre nem használták.
Az már csak a bennfentesek (illetve a tanúsítványok rendszerét ismerők) számára egyértelmű, hogy az incidens milyen hatalmas hibának számít, amit csak tetéz, hogy a Symantec pont az egyik leginkább támadott domén, a google.com megszemélyesítésére használható minősítéssel játszadozott. Az ilyen tanúsítványok kiadását ugyanis igen szigorú protokollok szabályozzák, a tét ugyanis hatalmas: a tanúsítvány birtokában megszemélyesíthető az adott domén, tehát a Symantec (vagy alkalmazottai) kiadhatják magukat a Google-nek úgy, hogy arról az áldozat semmilyen formában nem szerez tudomást.
A Symantec saját hatáskörben egy roppant cinikus, a felelősséget elmosó bejegyzéssel reagált a történtekre. A bejegyzés címe is elképesztően arrogáns ("Nehéz nap [piac]vezetőként"), a szöveg szerint a vállalat munkatársai egy belső tesztelés során bocsátották ki a kérdéses tanúsítványt. A cég állítása szerint a tanúsítványhoz tartozó kulcsokat "végig ellenőrzése alatt tartotta és azonnal visszavonta azokat a probléma felszínre kerülése után". Az érintett doménekre nem volt veszélyes a teszt-tanúsítvány - állítja a cég.
A cég azt is közölte, hogy néhány (pontosan nem közölt számú) munkavállalót az incidens következtében kirúgott. Ők ugyan átestek a szükséges képzésen korábban, a céges szabályokat azonban nem követték. A Symantec ugyan elismeri, hogy az alkalmazottak jó szándékkal dolgoztak, alapos vizsgálatot követően mégis kirúgták őket. "Mivel bíznak bennünk, hogy megvédjük a digitális világot, magunk számára a kompromisszummentesség lécét állítottuk fel, így ez volt az egyetlen döntés, amit meghozhattunk" - fényezte tovább magát a vállalat. Arról a bejegyzés nem közölt részleteket, hogy az emberi hibának ilyen tág teret hagyó belső protokollok kidolgozói, a protokollokat elfogadó közép- és felsővezetők helyükön maradhattak-e.
Mikor borul a bizalom?
A tanúsítványok rendszere, pontosabban a Public Key Infrastructure az abszolút bizalomra épül. A böngészők és operációs rendszerek néhány gyökértanúsítványt elfogadnak abszolút biztonságosként, erre építve alakul ki a kibocsátók fastruktúrája - minden szint felel azért, hogy a következő szint betartsa a protokollokat és megfeleljen e bizalomnak. A tanúsítványok ma már az internetes biztonság alapköveivé váltak: ezek felelnek azért, hogy a kliens és a szerver között biztonságos, titkosított kapcsolat jöhessen létre, úgy, hogy abba harmadik fél ne tudjon belenyúlni. A tanúsítvány szerepe a folyamatban az, hogy azonosítja a szervert és garantálja, hogy a böngészővel beszélő kiszolgáló az, aminek mondja magát (esetünkben a google.com a Google-é).
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
Ez a rendszer lassan olyan mint a demokrácia, amelyről még Churchill állította, hogy az a legrosszabb politikai rendszer, kivéve azokat, amelyeket már kipróbáltunk. A tanúsítványok rendszere valóban sok sebből vérzik, jelenleg azonban nincs olyan alternatíva, amelyre akár hosszabb távon alapozhatnánk az internetes kommunikáció biztonságát. Maradnak tehát az olyan kezdeményezések, mint a Google által beindított Certificate Transparency keretrendszer, amely az eddigieknél is szigorúbb előírások alá vonja a tanúsítványok kiadását és ellenőrizhetővé teszi a tanúsítványok kibocsátási folyamatát.
A Certificate Transparency egyébként az incidens alatt jól vizsgázott, a Google mérnökeit azonnal értesítette a kibocsátásokat naplózó rendszer a google.com-ra vonatkozó tanúsítvány létrejöttéről, így a cég saját hatáskörben azonnal feketelistázni tudta ezt a tanúsítványt a saját szoftvereiben. Nem véletlen, hogy egyes biztonsági szakértők megjegyezték, a Symantec-incidens akár a Certificate Transparency "belső tesztelésének" is beillett, könnyedén elképzelhető lenne, hogy az amerikai hírszerzés például így tesztelje a Google-féle monitorozás képességeit.