Per Thorsheim er sikkerhetsrådgiver i Passordninja AS.

En rekke analyser anslår at over 50 prosent av all webtrafikk nå foregår over krypterte forbindelser.

Bruk av HTTPS innebærer at avlytting av samband gir uforståelige data. Men det finnes nok av triks for å gjennomføre «mannen-i-midten»-angrep (man-in-the-middle) mot en slik forbindelse, men disse lukkes én etter én gjennom bedre krypto, og stadig flere funksjoner gjør slike angrep vanskelig eller helt umulig. Det er bra!

Dette representerer en utfordring for legitime formål. Alt fra politiet, PST og E-tjenesten til IT-avdelingen ønsker å se etter virus, botnett og datalekkasjer.

Dyp pakkeinspeksjon

Avlesing på endepunktene (antivirus på klient og server) er vanlig, men anses ikke som godt nok. Det fungerer stadig dårligere synes å være gjengs oppfatning i sikkerhetsmiljøet.

Derfor anskaffer man brannmurer og andre løsninger som tilbyr dyp pakkeinspeksjon eller såkalt «SSL interception», for eksempel fra leverandører som Blue Coat, Check Point, Palo Alto Networks med flere.

Disse løsningene tilbyr i all praksis man-in-the-middle avskjæring, eller «overvåking av innhold i krypterte samband», som bør være litt mer forståelig for folk flest.

PST har fått lov til å plante trojanere på mistenktes datamaskiner. Dette fordi man-in-the-middle operasjoner som ikke skal være kjent for sluttbruker eller mistenkt i stadig mindre grad lar seg gjennomføre, nettopp på grunn av bedre kryptering og sikring av samband, f.eks. HTTPS.

Inspiserer nesten all trafikk

Det blir ikke enklere for Etterretningstjenesten heller, slik vi kan lese i Lysne II-utvalgets rapport om Digitalt grenseforsvar, når alt og alle kjører kryptert trafikk i alle retninger. Da kan de ende opp med i beste tilfelle å bare ha metadata å forholde seg til, noe som gir betydelig høyere usikkerhet vil jeg påstå.

Her kommer da leverandørene med «SSL interception» i ulike produkter for salg til bedrifter. Slik kan det foregå: «Vi installerer en proxy hos dere, og enten lar vi denne generere falske sertifikater fortløpende når klienter internt forsøker å snakke med eksterne tjenester, eller så gjør vi den til en sertifikatutsteder som alle deres interne klienter og servere stoler blindt på. Spesielt med sistnevnte kan vi da klare å dekryptere og inspisere nesten all HTTPS-trafikk gjennom boksen».

Sikkerhetsprogramvare bringer også nye sårbarheter inn i bedriftens nettverk og systemer

Gjør nettverket mer sårbart

En fersk vitenskapelig rapport (The Security Impact of HTTPS Interception, pdf) fra forskere fra flere amerikanske universiteter, Google, Mozilla, Cloudflare og andre, viser at produktene kan medføre en kraftig reduksjon i SSL-sikkerheten.

I avhandlingen har de testet 12 ulike produkter, hvorav kun Blue Coat sin ProxySG 6642 får toppkarakter. Her i betydningen at produktet ikke kraftig reduserer SSL-sikkerheten, som forbindelsen mellom klient og server ville hatt uten en MitM-komponent.

Enda mer interessant, men ikke overraskende, er det at 5 av produktene faktisk introduserer alvorlige svakheter i sikkerheten til organisasjonen ved å ta dem i bruk.

Dette blir del av en større debatt som har økt i omfang i det siste; nemlig at sikkerhetsprogramvare i seg selv også bringer nye sårbarheter inn i bedriftens nettverk og systemer.

Foregår i stort omfang

Verken fagforeninger eller ansatte i store og små virksomheter, enten de har inhouse eller outsourcet IT, synes å være klar over at dette foregår i stort omfang.

Det er ikke gitt noen informasjon til ansatte, og det er ikke gitt noe samtykke, fagforeninger er ukjent med problemstillingen. Kort og greit: ansatte blir «overvåket» når de bruker krypterte kommunikasjonskanaler, som de tror skal være sikre fordi de bruker HTTPS.

Problemstillingen forsterkes når juridisk avdeling skal kommunisere med eksterne parter, eller ansatte skal logge seg på helseportaler eller andre steder hvor utveksling og behandling av sensitive personopplysninger foregår.

Det jeg ønsker meg er en bevissthet rundt problemstillingen, mer informasjon og aksept (samtykke) til at slik SSL interception benyttes.

Jeg vil vil gjerne få gjort det klart at innføring av slike produkter i seg selv representerer en risiko på flere nivåer. Ikke minst vil jeg også informere om at de som utvikler web- og kryptoprotokoller gjør sitt ytterste for å gjøre det slik at Man-in-the-Middle simpelthen ikke skal være mulig i fremtiden. Dermed blir investering i dyrt utstyr i dag fort en investering som kan være ubrukelig innen få år.