Gennem de seneste par år har vi set et støt stigende antal skrækhistorier om social engineering, herunder såvel almindelig phishing som mere målrettet spearphishing.

Diverse myndigheder og nedsatte råd har i den seneste tid lavet fine rapporter, der læsser hovedparten af ansvaret over på forbrugere og medarbejdere. Så nu efterlyses der træning og uddannelse for kæmpesummer som et middel til at holde problemerne i ave. Senest har Forbrugerrådet fået lavet en app. der kommer med advarsler til borgere og medarbejdere om forskellige aktuelle trusler.

Stop en halv! Vi har selv bedt om det!

I stedet burde man nok erkende at man selv har bedt om problemerne i og med at den langt overvejende del af de websites, der beder brugere om personlige oplysninger, ikke selv gør det ringeste for først (eller samtidigt) at autentificere sig over for brugerne. Det burde jo ellers være et helt naturligt og ufravigeligt krav. Så det ville nærmest være naturstridigt, hvis denne oplagte phishingmulighed ikke blev forsøgt udnyttet af kreative sjæle. Selv NemID adgangskoder og engangskoder bliver brugerne af stat og banker opfordret til at indtaste på enhver side, hvor de ser det velkendte NemID-indtastningsfelt.

Bedre bliver det ikke af den forvirring, der er opstået omkring brugen af website certifikater. Mange tror at når browseren viser "Sikker", betyder det at de kan føle sig sikre på hvem modparten er. Derfor har fremkomsten af gratis og let udstedte certifikater som f.eks. Lets Encrypt ført til en falsk oplevelse af sikkerhed hos mange brugere.

Situationen omkring de særlige EV-Certifikater, der udover at sikre krypteret forbindelse til websitet skulle bekræfte virksomhedens identitet, er også præget af problemer. Senest har Google efter gentagne tilfælde af sjusk med EV-certifikater tabt tiltroen til Symantec, som er en af de største certifikatudbydere. Sidste år måtte browser-leverandørerne også spærre for flere mindre udbydere af EV-certifikater.

Også i denne henseende ville det derfor være naturstridigt hvis de komplicerede processer med både mellemmænd (forhandlere, advokater m.fl.) og det forhold at at enhver leverandør af certifikater i hele verden kan udstede (falske) certifikater ikke førte til svindel. Tænk blot hvis de samme virksomheder også frit kunne udstede skøder og ejercertifikater til vores huse og biler!

Think Global, Act Local: "The missing link"

Ovenstående problematikker er én af årsagerne til at Peercraft nu tager initiativ til open source projektet OpenDiscovery. Det skal overordnet set løse problemerne med monopolplatforme som Google, Amazon og Uber, som fører til den type kringlede forretningsmodeller, som Yoel Caspersen beskriver i dette blogindlæg. Men i første ombæring retter vi indsatsen mod at løse problemet for virksomhederne med at identificere sig over for deres brugere.

Heldigvis bor vi i et land, der sammen med Norge, Finland og New Zealand er pionerer med hensyn til offentlig digitalisering. En af de mange ting, der skiller disse lande fra hoben af andre lande er en umiddelbart ret ubetydelig lille detalje: Det er nu muligt for virksomheder at tilføje et hjemmesidelink i deres registreringsoplysninger.

Men netop den lille detalje udløser imidlertid muligheden for "Linked Data", som bl.a. Tim Berners Lee har propaganderet for siden 2006. Data som man ikke både kan linke både til og fra er nemlig reelt døde data. Men hvad kan vi så bruge linket til?

Helt grundlæggende kan det benyttes til gensidig pegning mellem den, der kontrollerer virksomheden (i CVR-registret) og den, der kontrollerer domænet (f.eks. indsættelse af headertags, .well-known filer eller DNS records). Herudover kan man på systematisk vis finde f.eks. certifikater fra - eller links til - eventuelle trust-services, som virksomheden er tilknyttet.

Overordnet set minder strukturen i OpenDiscovery lidt om DNS. Den centrale komponent er en rekursiv resolver, som først forespørger med et specifikt EUID på den globale root provider, derefter til den udpegede autoritative nationale eller regionale provider for officielle oplysninger, og til sidst til en af virksomheden udpeget "Voluntary Provider", som leverer "self-asserted" eller tredjeparts validerede oplysninger.

En vigtig komponent (som endnu ikke er påbegyndt) er Business Publisher - en specifik implementering af "Voluntary Provider", der skal gøre det let for ikke-teknisk mindede personer at oprette og vedligeholde deres servicebeskrivelser. Resolver og Business Publisher er generiske komponenter, der skal kunne levere data til brug for diverse tjenester, f.eks. shopping, søgemaskiner, prissammenligningssider, direktorier, analyseværktøjer m.m.

En umiddelbar mulighed er at levere data til en browser extension, der kan sætte almindelige brugere bedre i stand til at vurdere hvilken virksomhed, der står bag de websider, de besøger. Vi har derfor lagt en prerelease udgave af en sådan browser extension, Business Investigator, på Googles Chrome webstore. Alle komponenterne er beskrevet i flere detaljer på projektets hjemmeside OpenDiscovery.biz

Business Investigator har potentielt en række fordele i forhold til et EV-certifikat:

• Først og fremmest er der ingen omkostninger til CA'er og andre administrative tredjeparter

• En række risici elimineres helt og det bliver lettere at implementere forholdsregler til håndtering af eventuelle uberettigede ændringer i selve Erhvervsregistret

• Adskillelse af håndtering af kryptering og identitet, kan derfor anvendes på ukrypterede sider (med den risiko det giver for MITM)

• Kan ikke blot benyttes på hele domæner, men også (via Header tag) på enkelte sider på f.eks. markedspladser.

• Afslører straks hvis virksomheden bag en webside er lukket, gået konkurs eller på anden måde har mistet sin retsevne.

• Giver afslørende info udover virksomhedsnavn: Med angivelse af f.eks. starttidspunkt, medarbejderantal, omsætning m.m. er det svært for en nyoprettet enkeltmandsvirksomhed eller IVS at udgive sig for at være en større kendt virksomhed.

Hvad nu?

Startskuddet er nu gået for OpenDiscovery projektet. Da vi arbejder på det som sidebeskæftigelse kommer udviklingen til at gå ret stille og roligt. Derfor er der også en stående invitation til virksomheder og personer, der kan se fordele ved OpenDiscovery om at støtte projektet med alt fra kritik og idéer til aktiv medvirken.

Det er planen at følge op med regelmæssige blogindlæg over de næste mange måneder, hvor jeg vil lufte forskellige udfordringer for projektet, f.eks. privacy, sikkerhed, performance og udbredelse.

Men allerede nu vil jeg gerne komme med en udfordring! Hvordan kan OpenDiscovery bedst eller lettest implementeres i forbindelse med email m/u bestående DMARC support? Formålet er selvfølgelig at kunne detektere om afsenderen er autoriseret af virksomheden uanset om en eventuel phisher har opsat DMARC på sit "alternative" domæne eller ej. Det burde bl.a. være interessant for de mange nyhedsmail-tjenester, der idag sender nyhedsbreve for andre virksomheder fra diverse kryptiske domæner.

Sådan aktiverer du Business Investigator på dit firmas hjemmeside

Hvis du har mod og lyst til at teste OpenDiscovery og autentificere din virksomheds hjemmeside er her en guide - dog pt. kun relevant for teknisk interesserede. Og CVR understøtter pt. desværre kun hjemmeside links for selskaber (IVS, ApS, A/S) og foreninger - men endnu ikke for enkeltmandsvirksomheder og interessentskaber.

• Log ind på Ændre virksomhed under VIRK

• Indsæt din hjemmeside, f.eks. https://www.dit-domæne.dk og vent på at opdateringen effektueres. Check med dit EUID (DK+CVR-nummer) på Resolver, om dit hjemmesidelink er kommet med (OBS: Det kommer ikke frem på den almindelige offentlige CVR-visning)

• Kopier filen host.json samt filen DK33755341.json og erstat oplysningerne med dine egne (det er nok med "type", "id", og "authzDomains" i sidstnævnte fil, da sociale links m.m. pt. ikke vises i Business Investigator)

• Placér de to omskrevne filer under https://www.dit-domæne.dk/.well-known/opendiscovery/

• Installér og brug Business Investigator i din Chrome browser