Vi läser om det ena lyckade intrånget efter det andra och kan
konstaterar kort "att de aldrig lär sig". Merparten av intrången är
möjliga på grund av att det slarvas, medvetet eller omedvetet. Få
intrång använder teknisk finess. Varför skulle man använda teknisk
finnes när det inte behövs? Vilken väg väljer den vanlige
inbrottstjuven? Vanligtvis den enklaste. Vad sägs om den öppna
dörren? I den digitala världen är den öppna dörren inte sällan
skyltad…
Trots vetskapen om att var och varannan är sårbar, vilket skall ses
i en tid av kraftigt ökad kriminalitet på nätet, så fortsätter
slarvet. Vi förflyttar dock oss sakta i en bättre riktning. Det tar
inte längre ett år (för alla) att täppa till en känd sårbarhet,
åtminstone inte i en exponerad Windowsbaserad webb som har
automatiserade uppdateringsrutiner. Det har helt enkelt blivit
enklare att patcha och då patchas det snabbare och i större
utsträckning.
Om sårbarheter i operativsystem och underliggande tjänster
förhoppningsvis snart tillhör historien, så finns det ny terräng
för den illvilliga. Ett av de bättre exemplen är alla PKI-byggen
som helt saknar struktur. Ett PKI som skall andas förtroende,
kanske enbart byggs i syfte att släcka den "irriterande"
certifikatvarningsrutan som kommer upp i webbläsaren. En PKI som
skall andas tillit, har en root-nyckel som sedan länge är på
vift.
Detta då kunskapen om varför en privat nyckel är och förblir en
hemlighet helt enkelt saknas. Kanske är det inte märkligt att det
är så illa med tanke på att gemene man tror att det är certifikatet
man skall vara rädd om…
I jakten på att släcka certifikatvarningsrutan så är givetvis ett
alternativ att välja billigast tänkbara certifikat. Det är kanske
ingen nyhet att även kommersiella byggen kan vila på högst
tveksamma grunder i jakten på snabba pengar. Bästa exemplet just nu
är väl Comodo där illvilliga lyckats utfärda certifikat, vilket
kort och gott kräver tillgång till den privata nyckeln. Den
delen av nyckelparet som man skall vara rädd om och hålla hemlig.
Inte tvärt om.
I den vanliga världen skulle vi inte anförtro våra barn med att
förvara nyckeln till familjens bankfack, trots att barn redan i
tidig ålder förstår att en nyckel skall man vara rädd om. De har
helt enkelt inte den struktur och de rutiner som ett sådant ansvar
är förenat med och de kan heller inte förväntas ha det.
Boenden på en gemensam adress, kanske ett större hyreshus, skulle
sannolikt inte acceptera att de hade samma nyckel till alla
lägenhetsdörrar. I den digitala världen kan vi av någon märklig
anledning tänka i de banorna.
Låt inte arbetet med att flytta positionerna i det ständiga
säkerhetsförbättringsarbetet leda i en riktning som gör att den
illvillige ges nya möjligheter. Välj inte genvägar om du inte vet
vad det innebär, och när du faktiskt ges möjlighet: håll hårt i
nycklarna!
