Op 9 juli jongstleden bracht het OpenSSL team een nieuwe versie van hun opensource software uit, die een ernstig beveiligingsprobleem moest verhelpen. Voordat het kritieke lek werd gedicht, waren cybercriminelen in staat om applicaties om de tuin te leiden met vervalste certificaten. Naar analogie van de grote orkanen, kreeg het lek ook een bijnaam: OprahSSL, een verwijzing naar de Amerikaanse presentatrice Oprah Winfrey die in haar shows waardevolle cadeaus weggeeft aan haar publiek. “Everyone gets new SSL certificates” en “Everyone becomes a CA”. Wat is de relevantie van deze gekkigheid? De hoogste tijd voor het echte, serieuze verhaal achter deze nieuwe kwetsbaarheid.
OpenSSL is de standaard voor de beveiliging van websites. Het wordt gebruikt om versleutelde verbindingen op te zetten, bijvoorbeeld om in te loggen op een website of bij internetbankieren. Het OpenSSL-project heeft een roerige tijd achter de rug. Vorig jaar zorgde de Heartbleed-bug er al voor dat een deel van het interne geheugen van servers en clients met OpenSSL uit te lezen was.
Het échte verhaal achter het nieuwe beveiligingsincident met OpenSSL gaat echter niet over kwetsbaarheden, het gaat over het structurele onvermogen van apps om het kaf van het koren te scheiden en alleen maar betrouwbare certificaten te valideren. De onwetendheid bij security pros is groot. Zo signaleerde FireEye dat 73 procent van de top 1.000 applicaties het zelfs volledig laat afweten en helemaal geen certificaten valideert.
Dat deze structurele verwaarlozing van belangrijke beveiligingstaken en het achterwege laten van basale veiligheidschecks niet zonder gevolgen kan blijven, ondervonden de Amerikaanse ondernemingen Fandago en Credit Karma. Het lekken van creditcardgegevens leverde de bedrijven heel veel gesteggel en uiteindelijk een financiële schikking op met de Amerikaanse toezichthouder, de US Federal Trade Commission (FTC). Dit beveiligingsschandaal betekent wel dat het privacybeschermingsprogramma van Credit Karma de komende twintig jaar heel scherp in de gaten zal worden gehouden door de toezichthouder.
Alle ellende is simpelweg ontstaan doordat de bedrijven verzaakt hadden om digitale certificaten als validatiemiddel te gebruiken voor hun mobiele apps, die privacygevoelige gegevens zoals creditcardgegevens en andere vertrouwelijke informatie versturen. Ook toen dit feit bekend werd gemaakt, kwamen de ondernemingen niet in actie. Een doodzonde. Je kunt de zwarte piet echter niet alleen maar bij de CISO of het beveiligingsteam neerleggen, de softwareontwikkelaars die apps ontwikkelen, het team fraudepreventie en de chief privacy officers (CPOs), ze zijn allemaal medeverantwoordelijk.
De nieuwste kwetsbaarheid in OpenSSL bewijst maar weer eens, waarom het zo belangrijk is dat een database waarin de reputatie van certificaten nauwkeurig wordt bijgehouden, een must is voor iedere onderneming. Venafi TrustNet biedt deze dienstverlening. TrustNet gebruikt zowel slimme algoritmes als big data in combinatie met in de cloud opgeslagen dynamische informatie om digitale certificaten geldig te verklaren. Dit in tegenstelling tot statische code die security professionals en sofwareontwikkelaars al twintig jaar gebruiken en hen alleen maar in verwarring brengt. Vandaag de dag zijn native iOS apps niet eens in staat om websites met ingetrokken digitale certificaten te herkennen en als verdacht te bestempelen. Een dienst als TrustNet is hiertoe wél in staat en reduceert de risico’s aanzienlijk. Als gevolg van de enorme complexiteit, de talrijke kwetsbaarheden en soms gewoon onverschilligheid, zijn mensen en systemen desondanks geneigd blind te vertrouwen op de aan hen gepresenteerde digitale certificaten.
In tegenstelling tot Heartbleed worden bij de nieuwste OpenSSL-kwetsbaarheid de encryptiesleutels en digitale certificaten niet direct geraakt. De carrousel van certificaten ongeldig verklaren, intrekken en vervangen kan dus deze keer achterwege blijven. De kwetsbaarheid die nu aan het licht is gekomen, beïnvloedt met name de client applicaties zoals een browser, VPN of mobiele applicatie. Deze maken voor authenticatie en het valideren van digitale certificaten gebruik van de OpenSSL bibliotheken bij het starten van versleutelde SSL/TLS sessies. Ook serverapplicaties, zoals een webserver of VPN, die digitale certificaten gepresenteerd krijgen door client applicaties, lopen risico.
Hoe dan ook, de ontdekte kwetsbaarheid toont wederom aan hoe belangrijk het is om te weten welke digitale certificaten in omloop zijn, waar ze zich bevinden en welke certificaten te vertrouwen zijn en welke niet. Deze kennis moet bovendien overal in de organisatie aanwezig zijn, niet alleen op het niveau van servers en desktops, maar ook binnen de hele internetgemeenschap.
Om misbruik te kunnen maken van de nieuwste kwetsbaarheid moet een cybercrimineel een privésleutel voor een digitaal certificaat zien te bemachtigen die is uitgegeven door een betrouwbare certificaat autoriteit (CA). Dit kan een publieke derde partij CA zijn die door browsers en het internet als betrouwbaar wordt beoordeeld. Maar het kan ook een privé CA zijn die intern binnen de eigen onderneming wordt gebruikt en vertrouwd. Dankzij het beveiligingslek kan een cybercrimineel het digitale certificaat samen met de verkregen sleutel gebruiken om zich voor te doen als een trusted CA, terwijl hij dit in werkelijkheid niet is.
Kwaadwillenden kunnen certificaten vervalsen voor elk domein, website of gebruiker die ze als doelwit op het oog hebben. Particulieren, ondernemingen maar ook overheden kunnen slachtoffer worden van de gangbare praktijken waarvan cybercriminelen zich bedienen, zoals man-in-the-middle attacks, spoofing, spear phishing en andere cyberaanvallen. Het is een fluitje van een cent. OpenSSL is de perfecte tool om encryptiesleutels te genereren en certificaten te ondertekenen.
Het is ook eenvoudig om een encryptiesleutel te bemachtigen van een vertrouwde CA. Afhankelijk van het einddoel kan een kwaadwillende gewoon een certificaat aanschaffen van een vertrouwde derde partij. Als hij op zoek is naar een certificaat van een specifieke CA en die om hem moverende redenen niet wil kopen via de reguliere kanalen, kan de cybercrimineel heel gemakkelijk illegaal op de zwarte markt een gestolen certificaat kopen voor 1.000 dollar of meer. Dankzij de duizenden Trojans die in omloop zijn is de klus helemaal kinderlijk eenvoudig. Het Trojaanse paard zet de achterdeur van de computer wagenwijd open en haalt de benodigde encryptiesleutels en digitale certificaten gewoon op.
Met de huidige Venafi TrustNet API’s die de reputatie van de digitale certificaten monitoren, kunnen ondernemingen met een gerust hart nagaan of een certificaat betrouwbaar is of niet. De dienst maakt geen gebruik van statische code of achterhaalde gedragsregels die de kwetsbaarheden over het hoofd zien, zoals het OpenSSL team nu pijnlijk heeft ondervonden met OpenSSL en andere bibliotheken.
Native iOS apps zijn niet of nauwelijks in staat om te checken of een certificaat echt is of vervalst. Een reputatiedienst voor het toetsen van certificaten, zoals Venafi TrustNet, kan dit wel. Het is daarom verstandig om het valideren van certificaten over te dragen aan een intelligent reputatiesysteem dat de complexe risico’s van kwetsbaarheden veel beter kan beoordelen dan softwareontwikkelaars, ook al zijn deze nog zo slim. De TrustNet API kan vanaf elke applicatie worden opgeroepen, ongeacht of het gaat om een mobiele app of een op container gebaseerde applicatie in de cloud. Slechts één API is in staat om alle noodzakelijke beslissingen te nemen. Het neemt het hele proces van valideren van certificaten in de keten, het toetsen van de betrouwbaarheid van certificaten en het signaleren van mogelijke fraude en kwetsbaarheden voor zijn rekening. Dat is de kracht van het Immuunsysteem voor het Internet.
White listing en black listing
Bovendien ontdekt het systeem welke certificaten worden gebruikt en welke CA’s je kunt vertrouwen. Op basis van deze waardevolle informatie kunnen CA’s op witte of zwarte lijsten worden geplaatst. Ondernemingen kunnen op die manier een bedrijfsbeleid afdwingen waardoor bijvoorbeeld de Chinese Certificate Authority CNNIC, die door overheden of ondernemingen als onbetrouwbaar worden beoordeeld, worden geweerd.
Het Immuunsysteem voor het Internet is cruciaal om onze digitale economie adequaat te beschermen, nu en in de toekomst. Er bestaat in de beveiligingswereld namelijk geen vergelijkbaar systeem dat niet alleen een haarfijn onderscheid kan maken tussen bonafide en malafide CA’s en certificaten, maar ook in staat is om bugs te repareren. Of het nu gaat om veiligheid binnen de onderneming zelf of op het internet, blind vertrouwen op certificaten is vergelijkbaar met een spelletje Russische roulette. Zelfs Oprah Winfrey kan dat leed niet verzachten…
Bezoek voor informatie over het OpenSSL’s veiligheidslek, de impact en getroffen versies en de beschikbare patches, de website van OpenSSL: https://www.openssl.org/news/secadv_20150709.txt.
Kevin Bocek, VP Security Strategy & Threat Intelligence bij Venafi
