Interesse van cybercriminelen in SSL-certificaten neemt toe
“Knap dat Let's Encrypt binnen enkele maanden al een miljoen gratis certificaten heeft uitgegeven. Daardoor wordt er steeds meer data en privacy beschermd via SSL/TLS. Echter naarmate er meer certificaten worden uitgegeven en zeker als die niet continu worden beschermd tegen misbruik, neemt ook de interesse van cybercriminelen daarin toe”, dit zegt Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi, in een reactie op de mijlpaal die Let’s Encrypt onlangs behaalde.
“Het gebruik van digitale certificaten om vertrouwd over te komen en zich te verbergen in versleuteld verkeer, wordt in toenemende mate een standaard aanvalsmethode voor cybercriminelen. Deze trend ondermijnt de doelstelling om met meer encryptie gebaseerd op gratis certificaten een vertrouwder Internet te creeren. De afgelopen tijd zijn er verschillende incidenten geweest gebaseerd op gratis certificaten, waaronder een malwarecampagne die Let's Encrypt certificaten gebruikte. Cybercriminelen kunnen met zo'n certificaat namelijk onopgemerkt een aantal securitycontroles passeren.”
Wie kun je vertrouwen?
Bocek: “Het wordt steeds moeilijker te onderscheiden wie en wat u kunt vertrouwen, omdat er door het toenemend gebruik van encryptie meer blinde vlekken voor securityapparatuur ontstaan. Oftewel het risico van certificaatmisbruik neemt toe, omdat criminelen door zich te verbergen in versleuteld verkeer eenvoudiger informatie kunnen stelen of 'beveiligde' communicatie kunnen onderscheppen via 'Man-in-the-Middle' (MitM) aanvallen. Maar ook valse websites kunnen installeren of malware distribueren, die zijn ondertekend met een ogenschijnlijk legaal certificaat. Een voorbeeld daarvan is de 'Suckfly'-groep die al zo'n twee jaar certificaten steelt om malware en hacker-tools vertrouwd te laten overkomen.”
“De waarde van certificaten is dus niet gerelateerd aan de uitgiftekosten, maar wel aan de reputatie van de betreffende 'Certificate Authority' (CA) en het gebruiksdoel. Om die waarde te behouden moeten organisaties de integriteit en beveiliging van alle gebruikte certificaten beter gaan waarborgen.”
Meer over
Lees ook
Sophos maakt versleuteling platformonafhankelijk
Sophos introduceert SafeGuard Encryption 6.1. De oplossing stelt eindgebruikers en It-beheerders in staat veilig data uit te wisselen tussen Windows-systemen, Mac-computers en mobiele apparaten. Versie 6.1 van de oplossing centraliseert encryptie, waardoor apparaten ongeacht hun locatie altijd goed beveiligd zijn. SafeGuard Encryption 6.1 onderste1
NSA kon telefoons van Nederlandse leger en diplomaten afluisteren
De NSA is lange tijd in staat geweest NAVO-landen waaronder Nederland en ambassadeurs af te luisteren. Onder andere de Nederlandse overheid heeft namelijk gebruik gemaakt van Philips-telefoons die voorzien zijn van een encryptie. Deze encryptie is echter verzorgt door de Amerikaanse inlichtingendienst NSA en Britse geheime dienst GCHQ. Dit meldt1
Criminelen stelen 80 miljoen Zuid-Koreaanse creditcards
Criminelen hebben vermoedelijk de creditcardgegevens van tachtig miljoen Zuid-Koreanen weten te stelen. De cybercriminelen wisten de beveiliging van maar liefst drie verschillende creditcardmaatschappijen in het land te omzeilen. Zij konden vervolgens met de creditcardgegevens aan de haal gaan. De financiële toezichthouder in Zuid-Korea meldt dat1