Google Symantec: Ruim je handeling of onveilig worden gebrandmerkt

Symantec; [Update 13:23 GMT: Symantec en verliesrekening]

Google heeft de wet vastgelegd als het gaat om Symantec en hoe het bedrijf omgaat met certificaten – transparant of het gezicht van de gevolgen.

Google is blijkbaar niet erg tevreden over de recente prestaties van beveiligingsbedrijf Symantec’s als het gaat om de uitgifte van beveiligde webpagina certificaten en heeft een lijst van eisen aan de dezelfde fouten te voorkomen dat dit opnieuw gebeurt geschetst.

In september, Symantec vuurde een aantal medewerkers na flagrante fouten bij het afgeven van Transport Layer Security (TLS) certificaten. Het bedrijf zei dat “werknemer error” veroorzaakt cryptografische certificaten online uit te geven zonder de toestemming van zowel Google of Symantec, waardoor aanvallers Google pagina’s beveiligd met HTTPS imiteren

Zoals je je kunt voorstellen met zo’n prominente online service provider, deze vorm van beveiliging mislukking is niet een kleine fout die je kunt poetsen onder het tapijt.

Als deze certificaten mochten onopgemerkt uit te gaan in het wild, kon cyberattackers een veld dag voordoen als legitieme domeinen. Dit, op zijn beurt, stelt online gebruikers het risico van surveillance, diefstal van gegevens en het kapen van sessies – al die tijd het verlaten van de verantwoordelijkheid aan de deur van Google.

De Thawte-branded Extended Validation (EV) pre-certificaten waren voor de google.com en www.google.com domeinen. Ze werden onmiddellijk ingetrokken wanneer Symantec het probleem opgemerkt, en zoals de pre-certificaat was alleen actief voor een dag, is het niet geloofde dat de veiligheid van de gebruikers werd in gevaar gebracht.

Echter, een volledig verslag in de kwestie bleek nog 23 keuringsbewijzen waren afgegeven zonder toestemming, die niet alleen Google, maar Opera en drie andere niet bekendgemaakte partijen – voor een extra 164 certificaten meer dan 76 domeinen en 2458 afgegeven voor domeinen die nooit waren geregistreerd werden gevonden.

“Deze keuringsrapporten nooit een risico voor iemand of een organisatie gesteld, omdat de certificaten nooit Symantec’s veilige testlaboratoria of de QA-test machine naar links, en ze waren nooit zichtbaar aan de eindgebruikers,” aldus Symantec.

Bovendien waren de keuringsbewijzen nooit gebruikt op de QA-testmachine. Tenslotte werden de private sleutels in verband met de keuringsbewijzen allemaal vernietigd als onderdeel van de testing tool die werd gebruikt om in te schrijven voor de test certificaten.

Ryan Sleevi, een Google-software engineer, zei woensdag in een blog post Google’s eigen onderzoek naar de orde gestelde probleem “nog enkele dubieuze certificaten” na slechts een paar minuten werk.

Het probleem is nu niet langer een handvol keuringscertificaten op het verkeerde moment wordt uitgegeven door een paar medewerkers. Het is duizenden certificaten die niet alleen verschillende audits nam om te ontdekken, maar de mogelijkheid van het plaatsen van miljoenen gebruikers in gevaar als dergelijke praktijken mogen blijven – en het lijkt Google’s ontmoeting met oud-medewerkers van Symantec heeft een stempel gedrukt.

De ingenieur zegt dat om te voorkomen dat dit opnieuw gebeurt, Google zal nu vereisen dat alle certificaten die door Symantec van 1 juni 2016 tot en met ondersteuning van Certificate Transparantie – of de Google Chrome-browser kan de vlag websites met behulp van deze certificaten mogelijk onveilige, een eng genoeg waarschuwing te weren weg gebruikers.

Onder het beleid, moet TLS referenties ingelogd zijn om een ​​website is eigendom van een specifieke organisatie, zoals Paypal of Apple te bewijzen, en dus Symantec zou hebben om al deze gegevens in plaats log dan alleen die domeinen die gebruik maken certificaat extensies.

Sleevi zegt: “In dit geval, registratie van niet-EV certificaten veel hoger zou zijn inzicht gegeven in het probleem en het probleem hebben laten sneller worden gedetecteerd.”

Star Trek: 50 jaar van positieve futurisme en gedurfde sociaal commentaar, Microsoft’s Surface all-in-one PC zei aan de kop van oktober hardware te lanceren; Hands on met de iPhone 7, nieuwe Apple Watch, en AirPods; Google koopt Apigee voor $ 625.000.000

Top gadgets en accessoires voor hardware en gegevensbeveiliging; Hoe maak ik een effectief team Red enterprise hack te lanceren; In kielzog van Ashley Madison’s, hier is een man het verhaal van seks, verdriet en afpersing; Uw bedrijf heeft een data-inbreuk geleden. Wat nu,? 10 dingen die u niet wist over de Dark Web

Na deze datum, HTTPS kunnen websites met behulp van Symantec geloofsbrieven beladen met pagina’s waarschuwing van potentieel onveilige en onbeveiligde inhoud, of “andere problemen” bij gebruik in Google-producten. Voor Symantec, kan dit ernstige relaties met gebruikers beschadigen – maar kan blijken te zijn een zegen voor concurrerende ondernemingen zijn.

Google heeft ook gevraagd dat Symantec updates hun rapport met een post-mortem van de redenen waarom het bedrijf niet de aanvullende certificaten Symantec gevonden, de details van mislukkingen van de bewakingsfirma’s, waarom fouten mochten gebeuren en welke maatregelen zullen worden genomen in heeft detecteren de toekomst een herhaling te voorkomen.

De volledige lijst van eisen zijn hieronder

Naar aanleiding van de uitvoering van deze corrigerende maatregelen, verwachten we Symantec om een ​​point-in-time Readiness Assessment en een third-party security audit ondergaan. De point-in-time beoordeling zal Symantec conformiteit vast te stellen elk van deze normen

Veiligheid; FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; beveiliging; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber -emergency reactie van de overheid waakhond

WebTrust Principes en Criteria voor Certification Authorities

WebTrust Principes en Criteria voor Certification Authorities – SSL Baseline met Network Security

WebTrust Principes en Criteria voor Certification Authorities – Extended Validation SSL

De derde-party security audit moet beoordelen

De juistheid van de beweringen van Symantec dat op geen enkel moment private sleutels werden naar Symantec werknemers blootgesteld door de tool.

Dat Symantec medewerkers konden geen gebruik maken van de functie in kwestie om de certificaten waarvoor de werknemer controleerde de private sleutel te verkrijgen.

Dat Symantec audit logging mechanisme is redelijk beschermd tegen wijziging, verwijdering, of manipulatie, zoals beschreven in paragraaf 5.4.4 van de CPS.

Een Symantec woordvoerder vertelde de website

In september werden we gewaarschuwd dat een klein aantal van keuringsbewijzen voor intern gebruik van Symantec was verkeerd uitgegeven. We begonnen meteen openbaar onderzoek naar onze volledige testcertificaat geschiedenis en vonden anderen, waarvan de meeste waren voor niet-bestaand en niet-geregistreerde domeinen. Hoewel er geen bewijs is dat schade aan een gebruiker of organisatie werd veroorzaakt, dit soort testen van het product was niet in overeenstemming met het beleid en de normen die wij zijn vastbesloten om te handhaven.

We bevestigd dat deze keuringsrapporten zijn allemaal ingetrokken of zijn verlopen, en werkte direct met de browser gemeenschap om hen op de zwarte lijst te hebben. Om te voorkomen dat dit soort tests te voorkomen in de toekomst, hebben we al extra hulpmiddel, beleid en proces waarborgen in te voeren, en kondigde plannen aan om certificaattransparantiegegevens logging van alle certificaten te beginnen. We zijn ook bezig met een onafhankelijke derde partij om onze aanpak te evalueren, in aanvulling op de uitbreiding van de reikwijdte van onze jaarlijkse audit.

Lees verder: Top picks

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond