Teveel organisaties vertrouwen blindelings op SSL/TLS-certificaten en sleutels
Heartbleed, LogJam, FREAK, Superfish en nu ook DROWN laten zien dat teveel mensen en organisaties blindelings vertrouwen op SSL/TLS-certificaten en sleutels. Volgens security-experts zijn maar liefst 33% van alle webservers via de DROWN-kwetsbaarheid aan te vallen. Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi, verwacht dat er meer protocol-, encryptie- en certificaatkwetsbaarheden op de loer liggen die criminelen kunnen benutten. De architecten van het internet hebben namelijk de hele online wereld gefundeerd op vertrouwen gecreëerd met digitale certificaten en cryptografische sleutels.
“DROWN maakt het voor cybercriminelen mogelijk om binnen een minuut Man-In-The-Middle (MITM) aanvallen uit te voeren op versleutelde TLS-verbindingen. Op servers die met dezelfde privésleutel zowel SSLv2 als TLS ondersteunen. Wat bij ongeveer een derde van alle webservers het geval is. Sleutels en certificaten vormen de fundering voor cybersecurity en worden veelal blindelings vertrouwd voor communicatie en e-commerce. Daarom maken criminelen graag gebruik van kwetsbaarheden in sleutels en certificaten om zich in netwerkverkeer te verbergen, privileges te verkrijgen, malware te installeren, of informatie te stelen”, aldus Bocek.
Te belangrijk om blindelings te vertrouwen
“SSL/TLS-certificaten en –sleutels zijn te belangrijk om blindelings te vertrouwen. Naarmate steeds meer websites daar gebruik van gaan maken, nemen de kansen voor criminelen toe om succesvol in te breken. Daarom hebben zij toenemende interesse in het onderscheppen van versleutelde communicatie, het vervalsen van vertrouwde websites en onzichtbaar inbreken via beveiligd verkeer. Het toenemend aantal ontdekte kwetsbaarheden en aanvallen op SSL/TLS en certificaten tonen aan dat dit een hardnekkig blijvend probleem is. Daarom is het belangrijk dat iedereen meer gaat letten op de bescherming van het online vertrouwen.”
Bocek: “Volgens het Ponemon Institute heeft elke door hen onderzochte organisatie de afgelopen twee jaar te maken gehad met een aanval gericht op het misbruiken van sleutels en certificaten. Maar liefst 54% van hen weet zelfs niet waar alle certificaten worden gebruikt, waardoor het voorkomen van een DROWN-aanval lastig is. Om zich goed te beschermen is het noodzakelijk zowel de beschikbare patch te installeren als de ondersteuning van SSLv2 uit te zetten. Net als bij Heartbleed is het echter tevens nodig dat er nieuwe privésleutels en certificaten worden aangemaakt en gebruikt.”
Meer over
Lees ook
Trojan vermomt zich als Windows-variant van WhatsApp
WhatsApp is een populaire chatapp voor smartphones waarmee gebruikers via internet tekstberichten naar elkaar kunnen sturen. Een nieuwe Trojan probeert op de populariteit van WhatsApp mee te liften en claimt een PC-versie van de app te zijn. De Trojan is ontdekt door Kaspersky Labs. De malware wordt via spamberichten verspreidt en meldt dat Whats1
Criminelen stelen 80 miljoen Zuid-Koreaanse creditcards
Criminelen hebben vermoedelijk de creditcardgegevens van tachtig miljoen Zuid-Koreanen weten te stelen. De cybercriminelen wisten de beveiliging van maar liefst drie verschillende creditcardmaatschappijen in het land te omzeilen. Zij konden vervolgens met de creditcardgegevens aan de haal gaan. De financiële toezichthouder in Zuid-Korea meldt dat1
95 procent van alle geldautomaten draait nog op Windows XP
Microsoft stopt in april met de ondersteuning voor Windows XP. Dit betekent dat het bedrijf geen beveiligingsupdates meer zal uitbrengen. Gebruikers lopen dus gevaar. Een groot probleem voor exploitanten van geldautomaten. Maar liefst 95 procent van alle geldautomaten wereldwijd draait op dit moment nog op Windows XP. Dit blijkt uit onderzoek van1