Moxie Marlinspike, välkänd från SSL-attacker och verktyg så som sslstrip och sslmitm, har tillsammans med en till snubbe släppt en draft för att komplettera SSL/TLS så att tilliten till CA:s kan minska. De senaste två åren har det ju varit flera omskrivna attacker och misskötsel från CA:s som har eroderat förtroende för SSL, så vi kan vara TACKsamma för Moxie’s bidrag till att lösa det här. Tidigare har han bland annat ordat för Convergence.

Vad TACK gör är att lägga till ytterligare ett lager med publik/privat nyckel, där enbart DU och inte någon CA kontrollerar den privata nyckeln. Därav behöver någon kompromettera även TACK-nyckeln för att göra en MITM-attack.

Det har kommit en RFC-draft på en TLS-extension som kan användas för certifikat pinning, något som Google Chrome introducerade för ungefär ett år sedan, och som lustigt nog även låg bakom att intrånget mot Diginotar upptäcktes då någon sannolikt körde just Moxie’s verktyg sslmitm i den iranska infrastrukturen.

Så, TACK för det. Får se hur det här slår. Nu finns det i alla fall ett par seriösa alternativ till att enbart förlita sig på CA-systemet.

Vem tackar nej till $60,000? Den som kan få mer än så…

Till slut kom stunden. Efter att Chrome varit obesegrat tre år i rad, har Chrome nu fallit i årets Pwn2Own. Ändrade regler resulterade i att franska VUPEN gav sig på Chrome, och tog sig dessutom ur Chrome’s sandbox. Just den senare delen är en stor deal, VUPEN hade tidigare annonserat att de kunde göra det, men möttes av skepsis från Google som menade att de nog utnyttjade en brist i Flash. Nu står det dock utom allt tvivel att VUPEN verkligen har en exploit som tar sig ur Chrome’s sandbox, i default installationen av Chrome.
Varför VUPEN valde att ge sig på Chrome? För att visa att ingen programvara står säker mot en tillräckligt motiverad angripare. Och nog kan man väl säga vid det här laget att knäcka Chrome har det signalvärdet.

De ändrade reglerna då? Att sårbarheten inte behöver rapporteras. Google reagerade på den ändringen genom att dra sig ur som sponsor till Pwn2Own, och istället sätta upp ett separat pris som del av sitt security rewards program. Skulle VUPEN gå till Google med sin sandboxsårbarhet skulle de casha in $60,000, men av allt att döma kommer de inte göra så. Visst får det en att tänka efter? Den där enstaka sårbarheten är värd mer än $60,000 för VUPEN på annat håll.

Pwnium fick däremot svar från Sergey Glazunov, som tacksamt cashade in fulla $60,000. Google har fortfarande $940.000 att ge ut till den som rapporterar buggar.

Så man kan nog i alla fall fortfarande säga såhär: ska du välja webbläsare efter säkerhet är Chrome fortfarande det bästa valet, men är du måltavla för en aktör med en halv miljon på fickan kommer du ändå inte undan.

Pwn2Own är nu över, och trots Googles tillskott för ett pris på totalt 20 000 dollar och en laptop, var det ingen som övervann Chrome. Jag upprepar därför återigen att Chrome är det absolut bästa valet när det kommer till säkerhet i webblä…

För ett par månader sedan skrev jag att Chrome fick oförtjänt framstå i dålig dager och att “för allt vi vet är Chrome det absolut bästa valet” [när det kommer till säkerhet].Varför det?Jo, därför att… även när vi lägger allt det tek…