Interesse van cybercriminelen in SSL-certificaten neemt toe
“Knap dat Let's Encrypt binnen enkele maanden al een miljoen gratis certificaten heeft uitgegeven. Daardoor wordt er steeds meer data en privacy beschermd via SSL/TLS. Echter naarmate er meer certificaten worden uitgegeven en zeker als die niet continu worden beschermd tegen misbruik, neemt ook de interesse van cybercriminelen daarin toe”, dit zegt Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi, in een reactie op de mijlpaal die Let’s Encrypt onlangs behaalde.
“Het gebruik van digitale certificaten om vertrouwd over te komen en zich te verbergen in versleuteld verkeer, wordt in toenemende mate een standaard aanvalsmethode voor cybercriminelen. Deze trend ondermijnt de doelstelling om met meer encryptie gebaseerd op gratis certificaten een vertrouwder Internet te creeren. De afgelopen tijd zijn er verschillende incidenten geweest gebaseerd op gratis certificaten, waaronder een malwarecampagne die Let's Encrypt certificaten gebruikte. Cybercriminelen kunnen met zo'n certificaat namelijk onopgemerkt een aantal securitycontroles passeren.”
Wie kun je vertrouwen?
Bocek: “Het wordt steeds moeilijker te onderscheiden wie en wat u kunt vertrouwen, omdat er door het toenemend gebruik van encryptie meer blinde vlekken voor securityapparatuur ontstaan. Oftewel het risico van certificaatmisbruik neemt toe, omdat criminelen door zich te verbergen in versleuteld verkeer eenvoudiger informatie kunnen stelen of 'beveiligde' communicatie kunnen onderscheppen via 'Man-in-the-Middle' (MitM) aanvallen. Maar ook valse websites kunnen installeren of malware distribueren, die zijn ondertekend met een ogenschijnlijk legaal certificaat. Een voorbeeld daarvan is de 'Suckfly'-groep die al zo'n twee jaar certificaten steelt om malware en hacker-tools vertrouwd te laten overkomen.”
“De waarde van certificaten is dus niet gerelateerd aan de uitgiftekosten, maar wel aan de reputatie van de betreffende 'Certificate Authority' (CA) en het gebruiksdoel. Om die waarde te behouden moeten organisaties de integriteit en beveiliging van alle gebruikte certificaten beter gaan waarborgen.”
Meer over
Lees ook
Google versleutelt interne communicatie van Gmail
Google maakt bekend de beveiliging van zijn e-maildienst Gmail te hebben verbeterd. De communicatie tussen servers van Gmail is voortaan versleuteld, waardoor onderschepte communicatie niet langer kan worden ingezien. Onthullingen van Edward Snowden toonde vorig jaar aan dat de Amerikaanse inlichtingendienst communicatie tussen datacenters van gro1
Wayne Thayer van de CA Security Council over SSL-certificaten
Allerlei certificaten zijn bedoeld om de veiligheid van het SSL-protocol te vergroten. Transparantie over deze certificaten, toezicht op de afgaven van certificeringen en 'certificaat pinning' is hierbij van groot belang. Maar wat betekent dit in de praktijk? Wayne Thayer, General Manager Security Products bij GoDaddy en lid van de CA Security Cou1
WhatsApp-berichten blijken eenvoudig gestolen te kunnen worden
De populaire chatapplicatie WhatsApp, die onlangs is overgenomen door Facebook, bevat een ernstig beveiligingslek. Andere Android-apps kunnen de berichtendatabase van WhatsApp stelen, waarna deze in handen komt van aanvallers. WhatsApp slaat berichten versleuteld in zijn berichtendatabase op. Het feit dat de database in handen valt van hackers zou1