Over 200 norske nettsider i fare for å svartelistes av Google

Kategorier: Internett & Sikkerhet

Brukere av nettleseren Chrome på mobil eller datamaskin kan fremover oppleve at de blir advart mot å besøke enkelte nettsider. Foto: Martin Gundersen CC BY 4.0


Google vil nå advare brukere om å besøke en rekke norske nettsider. Til NRKbeta oppgir mange av nettsidene at de ikke var klar over at de sto i fare for å svartelistes.

Google startet tirsdag en gradvis utrulling av en ny versjon av nettleseren Chrome. For over 200 norske nettsider vil det bety at de svartelistes av Chrome grunnet en feide mellom Google og Symantec om såkalte sikkerhetssertifikater.

Chrome, som vil advare brukerne sine om å besøke disse svartelistede sidene, har over halvparten av all nettlesertrafikk i Norge. Blant annet benyttes en rød varseltrekant og det står at «angripere muligens prøver å stjele informasjon om deg» som kredittkortinformasjon, passord, og meldinger:

Dette møter man om siden er svartelistet. Foto: Skjermbilde

Nettsiden er dermed utilgjengelig uten å omgå sikkerhetsmekanismene som sertifikatene brukes til, og det understrekes at dette gjøres på egen risiko.

Den britiske sikkerhetsforskeren Scott Helme gjennomførte for to uker siden et skann av de én million øverst rangerte nettsidene i verden, noe som avslørte at 1139 toppdomener var utsatt for svartelisting. Siden har mange av disse nettsidene blitt fikset, skriver TechCrunch.

Det var basert på disse funnene at NRK har gjort et skann som tar for seg norske domener.

Mandag var status at 246 nettsider lå an til å bli svartelistet, og da NRKbeta tok kontakt med flere av de største domene oppga flere at de var helt ukjent med problemet.

– Det skulle ikke være slik at man må bli oppringt for å få orden i sysakene, sier Ida Halvorsen til NRKbeta.

Hun er kommunikasjonssjef ved Nationaltheatret, og kunne i løpet av tirsdag fortelle at de har fått på plass en løsning.

Haugesund kommune ble også kontaktet mandag, der oppga Morten Meland at kommunen jobbet med å få det på plass så fort som mulig. Seks mindre kommuner var da også i fare med å bli svartelistet, og alle kommunene har ved publiseringstidspunkt ikke fornyet sine sikkerhetssertifikater. Torsdag formiddag oppga Haugesund kommune at de hadde fornyet sitt sertifikat.

Etter å ha blitt kontaktet av NRKbeta har bokforlaget Aschehoug, Visa, og nettbutikken Gymgrossisten fornyet sine sertifikater.

Hva er greia?

Hele konflikten sporer seg tilbake til en bekymringsmelding på Mozilla sin epostliste for sikkerhet. Der ble det etter hvert stilte spørsmål med hvordan selskapet Symantec delte ut sine sikkerhetssertifikater. Disse sertifikatene brukes til å verifisere at du snakker med rett nettside.

En etterforskning viste, ifølge Google, at Symantec hadde gitt andre organisasjoner muligheten til å utstede slike sertifikater uten at de hadde gode nok sikkerhetsrutiner.

Istedenfor å rydde opp valgte Symantec å selge hele sertifikat-virksomheten sin til en konkurrent. Virksomheter som har benyttet sertifikater fra Symantec blir derfor gradvis svartelistet av nettleseren Mozilla Firefox og Google Chrome, og det kan virke som mange ikke har fått med seg konsekvensene av konflikten.

Det heldigvis ikke vanskelig å bytte sikkerhetssertifikat og oppgaven tar bare noen timer, men det kan sette en støkk i besøkende at nettleseren advarer dem mot å besøke nettsiden.

Mozilla skriver selv at de har planer om å svarteliste alle Symantec-sertifikater, men vil vente til flere nettsider har byttet sertifikater.

En del av en større bevegelse

De siste årene har nettlesere tatt flere steg for å gjøre internett sikrere. En del av dette arbeidet har gått ut på å stille strengere krev til bruk av kryptering (HTTPS) og å vise brukere at en nettside som «ikke sikker» i adresselinjen om HTTPS mangler.

Til venstre: Nettside uten kryptering. Til høyre: NRKbetas nettside som benytter HTTPS. Foto: Skjermbilde

– Uheldig

Øyvind Grinde, som er seksjonssjef i Direktoratet for forvaltning og ikt (Difi), mener det er positivt at nettleserne i varsler brukerne om at nettsider potensielt er usikre. Difi anbefaler i dag alle offentlige nettsider å ta i bruk kryptering (HTTPS), og oppgir at de arbeider for å gjøre det obligatorisk blant offentlige nettsider.

Hvor alvorlig mener dere det er at norske kommuner lar sine sikkerhets-sertifikater bli svartelistet?
– Det er uheldig og det går på tilliten til det offentlige om man som innbygger møter tjenester som ikke fungerer som de skal, sier Grinde.

– For brukere som ikke er teknisk kyndige kan en slik advarsel skape usikkerhet, og det kan gjøre at de ikke får besøkt nettsiden.

Man kan selv undersøke om en nettside er i fare for å svartelistes ved å benytte nettleseren Google Canary eller ved å benytte utviklerverktøyet i en ordinære Chrome-nettleser.

***
Saken er oppdatert med informasjon om at Haugesund kommune i ettertid har fornyet sitt sertifikat.

19 kommentarer

  1. Dette er kjempebra!

    Det kan sammenlignes med at f.eks utsteding av pass er blitt privatisert, og at det selskapet som utsteder pass plutselig lager pass på bestilling for helt andre privatpersoner. (Dette er en veldig forenklet forklaring). Man kan ikke lenger stole på noen av «passene» Symantec har utstedt i perioden det er snakk om.

    Sertifikatmyndighetene på internett er helt avhengig av tillitt, og Symantec har brutt tillitten til de grader. Veldig bra sikkerhetstilltak av Google.

    Svar på denne kommentaren

  2. Daniel Olai Danielsen

    Utrolig at det står så dårlig til med den offentlige nettsikkerheten. Dette har vært kjent i godt over et år, og burde ha vært tatt tak i allerede da.

    At VISA og andre selskap også henger etter er jo nesten verre, hvor mye betaler ikke de for IT-tjenestene sine?

    Svar på denne kommentaren

  3. Mye verre er det at Google sensurerer uavhengig politiske ytringer ved å la de forsvinne fra søkemotorene, hvilket er en skandale i moderne tid.

    Men dette tør selvfølgelig ikke NRK eller noen andre ta opp, for da blir de stemplet som Russlandvennlige, konspiratoriske og alt hva brukes som hersketeknikk mot de som ikke er med på gjeldende linje og kan risikere å forsvinne fra det gode selskap selv.

    Svar på denne kommentaren

    • Hei Tellef!

      Google er en søkemotor som selv vurderer hvilke søkeresultater de ønsker å vise, gitt det er innenfor lovverket i landet de opererer.

      Jeg har nylig blitt kalt regimevennlig (i et annet kommentarfelt), men jeg er ikke redd for å bli kastet ut fra det gode selskap.

      Send meg gjerne en epost (i bio) om du vil tipse meg om en sak. Kom gjerne med kildehenvisninger. Alternativt kan du skrive mer utfyllende her.

    • Gutteromspromp (svar til Tellef)

      Det er jo ikke rart Martin Gundersen blir kalt «regimevennlig» når han skriver som han gjør.

      «Google er en søkemotor som selv vurderer hvilke søkeresultater de ønsker å vise, gitt det er innenfor lovverket i landet de opererer.»

      Google er bare en søkemotor, og de har de ærligste hensikter. Ja jøss. Trine Skei Grande må være stolt.

      Og nylig, i artikkelen, «Fra Ford til Facebook» hvor han skriver «Facebook beskyldes på sin side for å slurpe i seg de digitale annonsekronene (sammen med Google)»

      Godt gjort å så tvil om det, av en redaksjon med gravejournalister.

      I tillegg etterlyser Gundersen tips. Bravo. NRKbetas ansatte trenger altså tips for å belyse og stille kritiske spørsmål ved de overgrepene som gjøres av Silicon Valleys ultramektige selskaper, hvis algoritmer dominerer og patruljerer det offentlige, digitale rom – samtidig som de spiller ball med politikere, myndigheter og militære. Det er oppsiktsvekkende og en ikke særlig tiltrekkende jeg-hører-hva-du-sier-men-ikke-hva-du-mener-mentalitet.

      Det burde vel sitte i ryggmargen til enhver som kaller seg journalist å bringe det til torgs, istedenfor å tilsløre, avlede, late som at du vet mindre enn dem. «Hvitvasking» er et ord som blir brukt om journalistenes aktivitet i dag – noe som ikke er vanskelig å forstå.

    • JohnDoe (svar til Tellef)

      Det blir jo ikke sagt at Google har ærlige hensikter, men du har valgt å tolke det dit uten at det blir sagt noe som gir det inntrykket.

    • I denne redaksjonen lager vi saker på dokumenterbare påstander.

      Kom gjerne med beskyldninger mot meg og andre, men vær klar over at det ikke tilføyer debatten i kommenarfeltet noe. Du er gitt mulighet til å underbygge argumentene dine, noe jeg ser du ikke har valgt å gjøre.

    • Marius (svar til Reidar)

      Krypteringen på https ligger i kommunikasjonen. Ikke i lagringen.
      Det vil da si at dersom den ikke er kryptert så vil andre kunne endre innholdet i nettsiden mens den transporteres i mellom server og klient.

      Dette vil da være en sikkerhetsrisiko for alle som kommuniserer ukrypter med web-serveren.

    • HTTPS er ganske mye «lissom-beskyttelse». Hvor vanlig er det egetntlig at en man-in-the-middle går inn og modifiserer på det web-innhold som sendes til brukeren? Kanskje du kan grave fram et tilfelle fra 2015, og et annet fra to år tidligere, men det klassifiserer ikke som «vanlig».

      Trafikk andre veien, der du sender inn f.eks. konto-informasjon er noe mer følsom, men likevel: Å følge med på all din nettrafikk for å trigge på akkurat de gangene du oppgir et kontonummer eller kredittkortnummer, krever såpass mye kjennskap til nettstedets web-formularer og din aktivitet at det neppe er verd ressursene.

      Å kreve at «økonomiske» nettsteder alltid benytter tofaktor-autentisering med en engangs-kode av type bank-ID eller via mobil, gir en langt bedre sikring mot at eventuelt stjålet info kan misbrukes.

      Så snart data har kommet fram til nettstedet er de ubeskyttet og kan brukes vilkårlig, til f.eks. skreddersydd reklame mot deg. De kan selges til andre.

      Naturligvis: Når myndighetene ønsker oversikt over alle dine økonomiske transaksjoner, og om hva du har vært på jakt etter på Internett, hvilke nettsteder du har besøkt, da gir HTTPS ingen form for beskyttelse.

      I teorien kunne nettsteder stå opp mot myndighetenes krav om innsyn når kravet ikke er begrunnet i en utvetydig lovtekst, men det er uhyre sjelden at noen faktisk våger å opponere mot myndighetenes innsynskrav. Ingenting slikt beskyttes av HTTPS.

    • Vi må skille mellom innholdet, basert på HTML, og måten det overføres på, HTTP / HTTPS.

      Sammenlign det gjerne med et forseglet brev: Innholdet kan være skrevet med fjærpenn, eller være en utskrift fra en moderne skriver; det gjør ingen forskjell. Innholdet er beskyttet av forseglingen, uansett hvilken form det har. Når brevet har kommet fram til mottakeren, som har brutt forseglingen, har beskyttelsen gjort jobben sin. Hvis innholdet er konfidensielt, må det beskyttes på annen måte mot uønsket innsyn.

      HTTPS beskytter innholdet under overføring, uansett hvilken form meldingen er i. Når den har kommet fram, og meldingen åpnes, er vi ferdige med HTTPS.

      (Analogien mellom forsegling og HTTPS er langt fra perfekt: En mellommann kan bryte et segl å få tak i innholdet. Poenget her er skillet mellom forsendelse og innhold.)

      Nå er det riktig at sertifikater også (kan) brukes for å kryptere selve innholdet. F.eks. S/MIME-kryptert epost kan bare dekrypteres av den person som har den rette privat-nøkkelen; denne beskyttelsen opphører ikke når meldingen kommer fram til mottakeren. (S/MIME bruker asymmetrisk kryptering, med ulike nøkler for kryptering og dekryptering.) Dette er på et helt annet nivå beskyttelse, i prinsipp uavhengig av HTTPS.

      Du kan ønske å beskytte på begge nivåer: S/MIME beskytter bare selve brevinnholdet, ikke header-felter som avsender/mottaker og henvisning til tidligere meldinger. Link-nivå beskyttelse (som HTTPS) beskytter alle felter – men bare så lenge meldingen er ute på kabelen / i eteren. Når f.eks. epost-tjeneren skal levere deg eposten din, den dekryptere epost-headere for å se hvem den skal formidle eposten til (men uten adgang til det innholdet som er S/MIME-kryptert).

      I prinsipp kunne en web-tjener kryptere også innholdet helt fram til brukeren, på samme måte som S/MIME epost. For epost-lesere har det blitt etablert at de «må» kunne handtere S/MIME, men noe tilsvarende har ikke skjedd på web-siden: Funskjonene for mottak handterer link-nivå (HTTPS) kryptering, men ikke noe som tilsvarer S/MIME. Det har vel mye å gjøre med at websider i utgangspunktet var «offentlige», ikke rettet mot en bestemt person. Skulle en web-tjener kryptere noe spesifikt for deg, ville du måtte identifisere deg, eller sende med din offentlige nøkkel med HTTP-forespørselen, men dit har vi ikke kommet. Vi burde ha vært der!

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.