Kan vi bekæmpe phishing med "Linked Data"?
Gennem de seneste par år har vi set et støt stigende antal skrækhistorier om social engineering, herunder såvel almindelig phishing som mere målrettet spearphishing.
Diverse myndigheder og nedsatte råd har i den seneste tid lavet fine rapporter, der læsser hovedparten af ansvaret over på forbrugere og medarbejdere. Så nu efterlyses der træning og uddannelse for kæmpesummer som et middel til at holde problemerne i ave. Senest har Forbrugerrådet fået lavet en app. der kommer med advarsler til borgere og medarbejdere om forskellige aktuelle trusler.
Stop en halv! Vi har selv bedt om det!
I stedet burde man nok erkende at man selv har bedt om problemerne i og med at den langt overvejende del af de websites, der beder brugere om personlige oplysninger, ikke selv gør det ringeste for først (eller samtidigt) at autentificere sig over for brugerne. Det burde jo ellers være et helt naturligt og ufravigeligt krav. Så det ville nærmest være naturstridigt, hvis denne oplagte phishingmulighed ikke blev forsøgt udnyttet af kreative sjæle. Selv NemID adgangskoder og engangskoder bliver brugerne af stat og banker opfordret til at indtaste på enhver side, hvor de ser det velkendte NemID-indtastningsfelt.
Bedre bliver det ikke af den forvirring, der er opstået omkring brugen af website certifikater. Mange tror at når browseren viser "Sikker", betyder det at de kan føle sig sikre på hvem modparten er. Derfor har fremkomsten af gratis og let udstedte certifikater som f.eks. Lets Encrypt ført til en falsk oplevelse af sikkerhed hos mange brugere.
Situationen omkring de særlige EV-Certifikater, der udover at sikre krypteret forbindelse til websitet skulle bekræfte virksomhedens identitet, er også præget af problemer. Senest har Google efter gentagne tilfælde af sjusk med EV-certifikater tabt tiltroen til Symantec, som er en af de største certifikatudbydere. Sidste år måtte browser-leverandørerne også spærre for flere mindre udbydere af EV-certifikater.
Også i denne henseende ville det derfor være naturstridigt hvis de komplicerede processer med både mellemmænd (forhandlere, advokater m.fl.) og det forhold at at enhver leverandør af certifikater i hele verden kan udstede (falske) certifikater ikke førte til svindel. Tænk blot hvis de samme virksomheder også frit kunne udstede skøder og ejercertifikater til vores huse og biler!
Think Global, Act Local: "The missing link"
Ovenstående problematikker er én af årsagerne til at Peercraft nu tager initiativ til open source projektet OpenDiscovery. Det skal overordnet set løse problemerne med monopolplatforme som Google, Amazon og Uber, som fører til den type kringlede forretningsmodeller, som Yoel Caspersen beskriver i dette blogindlæg. Men i første ombæring retter vi indsatsen mod at løse problemet for virksomhederne med at identificere sig over for deres brugere.
Heldigvis bor vi i et land, der sammen med Norge, Finland og New Zealand er pionerer med hensyn til offentlig digitalisering. En af de mange ting, der skiller disse lande fra hoben af andre lande er en umiddelbart ret ubetydelig lille detalje: Det er nu muligt for virksomheder at tilføje et hjemmesidelink i deres registreringsoplysninger.
Men netop den lille detalje udløser imidlertid muligheden for "Linked Data", som bl.a. Tim Berners Lee har propaganderet for siden 2006. Data som man ikke både kan linke både til og fra er nemlig reelt døde data. Men hvad kan vi så bruge linket til?
Helt grundlæggende kan det benyttes til gensidig pegning mellem den, der kontrollerer virksomheden (i CVR-registret) og den, der kontrollerer domænet (f.eks. indsættelse af headertags, .well-known filer eller DNS records). Herudover kan man på systematisk vis finde f.eks. certifikater fra - eller links til - eventuelle trust-services, som virksomheden er tilknyttet.
Overordnet set minder strukturen i OpenDiscovery lidt om DNS. Den centrale komponent er en rekursiv resolver, som først forespørger med et specifikt EUID på den globale root provider, derefter til den udpegede autoritative nationale eller regionale provider for officielle oplysninger, og til sidst til en af virksomheden udpeget "Voluntary Provider", som leverer "self-asserted" eller tredjeparts validerede oplysninger.
En vigtig komponent (som endnu ikke er påbegyndt) er Business Publisher - en specifik implementering af "Voluntary Provider", der skal gøre det let for ikke-teknisk mindede personer at oprette og vedligeholde deres servicebeskrivelser. Resolver og Business Publisher er generiske komponenter, der skal kunne levere data til brug for diverse tjenester, f.eks. shopping, søgemaskiner, prissammenligningssider, direktorier, analyseværktøjer m.m.
En umiddelbar mulighed er at levere data til en browser extension, der kan sætte almindelige brugere bedre i stand til at vurdere hvilken virksomhed, der står bag de websider, de besøger. Vi har derfor lagt en prerelease udgave af en sådan browser extension, Business Investigator, på Googles Chrome webstore. Alle komponenterne er beskrevet i flere detaljer på projektets hjemmeside OpenDiscovery.biz
Business Investigator har potentielt en række fordele i forhold til et EV-certifikat:
Først og fremmest er der ingen omkostninger til CA'er og andre administrative tredjeparter
En række risici elimineres helt og det bliver lettere at implementere forholdsregler til håndtering af eventuelle uberettigede ændringer i selve Erhvervsregistret
Adskillelse af håndtering af kryptering og identitet, kan derfor anvendes på ukrypterede sider (med den risiko det giver for MITM)
Kan ikke blot benyttes på hele domæner, men også (via Header tag) på enkelte sider på f.eks. markedspladser.
Afslører straks hvis virksomheden bag en webside er lukket, gået konkurs eller på anden måde har mistet sin retsevne.
Giver afslørende info udover virksomhedsnavn: Med angivelse af f.eks. starttidspunkt, medarbejderantal, omsætning m.m. er det svært for en nyoprettet enkeltmandsvirksomhed eller IVS at udgive sig for at være en større kendt virksomhed.
Hvad nu?
Startskuddet er nu gået for OpenDiscovery projektet. Da vi arbejder på det som sidebeskæftigelse kommer udviklingen til at gå ret stille og roligt. Derfor er der også en stående invitation til virksomheder og personer, der kan se fordele ved OpenDiscovery om at støtte projektet med alt fra kritik og idéer til aktiv medvirken.
Det er planen at følge op med regelmæssige blogindlæg over de næste mange måneder, hvor jeg vil lufte forskellige udfordringer for projektet, f.eks. privacy, sikkerhed, performance og udbredelse.
Men allerede nu vil jeg gerne komme med en udfordring! Hvordan kan OpenDiscovery bedst eller lettest implementeres i forbindelse med email m/u bestående DMARC support? Formålet er selvfølgelig at kunne detektere om afsenderen er autoriseret af virksomheden uanset om en eventuel phisher har opsat DMARC på sit "alternative" domæne eller ej. Det burde bl.a. være interessant for de mange nyhedsmail-tjenester, der idag sender nyhedsbreve for andre virksomheder fra diverse kryptiske domæner.
Sådan aktiverer du Business Investigator på dit firmas hjemmeside
Hvis du har mod og lyst til at teste OpenDiscovery og autentificere din virksomheds hjemmeside er her en guide - dog pt. kun relevant for teknisk interesserede. Og CVR understøtter pt. desværre kun hjemmeside links for selskaber (IVS, ApS, A/S) og foreninger - men endnu ikke for enkeltmandsvirksomheder og interessentskaber.
Log ind på Ændre virksomhed under VIRK
Indsæt din hjemmeside, f.eks. https://www.dit-domæne.dk og vent på at opdateringen effektueres. Check med dit EUID (DK+CVR-nummer) på Resolver, om dit hjemmesidelink er kommet med (OBS: Det kommer ikke frem på den almindelige offentlige CVR-visning)
Kopier filen host.json samt filen DK33755341.json og erstat oplysningerne med dine egne (det er nok med "type", "id", og "authzDomains" i sidstnævnte fil, da sociale links m.m. pt. ikke vises i Business Investigator)
Placér de to omskrevne filer under https://www.dit-domæne.dk/.well-known/opendiscovery/
Installér og brug Business Investigator i din Chrome browser
Der er nogle gode ting i dette, men hvorfor skal man kunne stole på at i lukker de rigtige ’provideres’ ind i varmen?
Der er mange steder hvor man har brug for at etablere en chain of trust..
Når jeg bruger jeres opendiscovery.biz/resolver så kan jeg ikke hvilke egenskaber der bliver garanteret, og hvem der garantere dem.
Hvis jeg besøger et domæne så vil jeg gerne vide om det er en aktivt selvskab inden jeg handler der, men det kan også være at jeg gerne vil vide om det har tilladelse til at formidle kreditkort transaktioner, bankforetninger, sælge økologiske fødevare, repræsentere et varemærke etc.
Jeg vil også vide hvem der er længere oppe i certifikat kæden, og hvem der har givet dem bemyndigelse.
Det kan have stor betydning om et selvskab f.eks. er registreret på cayman eller i Danmark.
Et andet problem er at man (som udlænding) ikke kan se om et mellemled som virk.dk overhovet er bemyndiget til dette, eller om det er et phishing site der foregiver at være det.
Det er vigtigt at certifikat chain of trust følger den virkelige verden, det kunne f.eks. se således ud:
World->SoverignStates->KingdomOfDK-->|Selskabsregisteret->Børges Bix
World->LegalCorperationRegisters-------->|
"Chain of trust" starter med én selv. Det én person vil stole på, er måske ikke godt nok til den anden. Vi har startet OpenDiscovery et open source projekt fordi det er en fordel at anvende fælles ontologier m.m. Men ellers kan man selv hoste providere med den begrænsning at nogle lande kræver at man har fået oprettet et login hos den pågældende erhvervsstyrelse.
Det er lige præcis derfor at vi har lavet "voluntary provider". Det er i princippet en moderne version af væggen med næringsbrev, svendebreve, kåring til "årets lokale virksomhed" i tidligere tiders håndværksvirksomheder. I dag kunne det være de ting du nævner, samt f.eks. at butikken er e-mærket, har NemID tilladelse m.m. De ting skal selvfølgelig kunne bekræftes fra kilderne, enten ved at de har udstedt et digitalt certifikat til de relevante virksomheder eller udstiller virksomhederne i en åben liste eller via API.
Udover det, er det også muligt at man selvstændigt skal lade troværdige 3.parter udstille eventuelle advarsels- eller blacklister mod virksomheder - altså i stil med Googles "Safebrowsing" lister. Altså ting, som virksomheden ikke selv er motiveret for at udstille. Her kan det - jf. min første kommentar - være relevant at slutbrugeren selv kan vælge disse til og fra.
Hvordan hånterer man dette? Kan der fx registreres en hjemmeside pr binavn, eller hvordan har man tænkt sig at håndere dette?
Mange virksomheder har jo flere brands som de markedsfører.
For at løsningen både kan blive fleksibel og udbredes til mange lande blot de giver mulighed for én URL i deres virksomhedsregister, er det op til virksomheden at angive hvor (på hvilket domæne), man kan finde discovery-filen med bl.a. hvilke domæner virksomheden gør krav på. Så discoveryfilen på peercraft.com dækker f.eks. også bedreid.dk og opendiscovery.biz. Men vi kunne også fra CVR have peget på en helt ekstern provider til at håndtere discovery-filen.
Vi har pt. ikke medtaget binavnene i systemet som sådan. Men man kunne jo overveje om syntaksen for angivelse af domæner/URL'er skulle kunne udvides til at man for hvert domæne optionelt kunne angive hvilket officielt binavn man ønskede benyttet i relation til hver domæne/URL. Spørgsmålet er dog om f.eks. Business Investigator extension'en bør gøre brug af en sådan mulighed. Den kunne jo eventuelt forvirre (for)brugere til at tro at der er tale om legalt forskellige enheder, snarere end to brands under samme virksomhed.