Begin dit jaar werd Lenovo betrapt op de installatie van Superfish adware op Lenovo laptops. Superfish kraakt SSL/TLS encryptie met behulp van vervalste digitale certificaten en stelt daardoor onbedoeld ook anderen in staat misbruik te maken van het digitale vertrouwen dat die certificaten moeten bieden. Helaas zijn dit soort ‘’MITM-attacks” (Man In The Middle) met vervalste certificaten niet nieuw.
Het SSL/TLS model is ontworpen om een vertrouwd communicatiekanaal te creëren. Maar doordat Lenovo het Superfish CA certificaat als vertrouwd had gekenmerkt, werden meteen alle MITM certificaten door de browser als vertrouwd gezien, waardoor gebruikers plots kwetsbaar waren voor onveilige websites en pogingen om gevoelige communicatie te onderscheppen. Lenovo heeft weliswaar de fout toegegeven en levert de betreffende adware naar eigen zeggen niet langer mee, maar het is duidelijk dat het systeem van vertrouwen op basis van sleutels en certificaten onder vuur ligt.
Immuunsysteem ontbreekt
Sleutels en certificaten zijn ontworpen naar het model van biologische labels in levende cellen: ze maken duidelijk wat veilig en betrouwbaar is. Maar kennelijk ontbreekt er iets in dat model: een immuunsysteem dat bijhoudt wat precies betrouwbaar is, en wat niet. We kunnen veel leren van het menselijk immuunsysteem en die kennis toepassen in de cyberwereld.
Volgens het Cost of Failed Trust rapport van het Ponemon Instituut (2015) neemt met het aantal cyberaanvallen ook het aantal sleutels en certificaten hand over hand toe. In de afgelopen twee jaar groeide het aantal sleutels en certificaten dat gebruikt wordt in de webservers, netwerkapparaten en cloud services van de grotere ondernemingen, met meer dan 34% naar gemiddeld naar liefst 24.000 per onderneming. Gestolen certificaten gaan nu op de zwarte markt voor 1000 dollar over de toonbank – ze zijn in de afgelopen twaalf maanden tweemaal zo duur geworden. Tegelijkertijd heeft 54% van de ondernemingen geen idee waar hun sleutels en certificaten precies staan, of hoe ze worden gebruikt.
De gaten in de beveiliging die door incidenten als Superfish, maar ook bijvoorbeeld Heartbleed en Poodle, aan het licht komen, zijn bijzonder zorgelijk. Ondernemingen die waarde hechten aan hun veiligheid doen er goed aan hun supply chain voor die certificaten door te lichten om een goed beeld te krijgen van welke certificaten precies worden verstrekt, en door wie.
Onbetrouwbare certificaatautoriteiten
Er zijn meer dan 200 instanties die certificaten verstrekken, maar helaas zijn ze niet allemaal zonder meer te vertrouwen. Google en Mozilla kondigden eerder dit jaar bijvoorbeeld al aan dat hun browsers de digitale certificaten die worden verstrekt door het China Internet Network Information Center (CNNIC), de belangrijkste Chinese certificaatverstrekker, niet langer meer vertrouwen. Die beslissing werd genomen nadat Google aangaf ongeautoriseerde certificaten te hebben ontdekt voor een aantal domeinen. Microsoft en Apple lieten hun beleid ongewijzigd.
Als IT-professional doe je er goed aan nooit blind de grote namen te volgen, maar bij voorkeur je eigen research te doen om te bepalen aan welke certificaatverstrekkers je je organisatie toevertrouwt. Zelfs Gartner adviseert inmiddels al certificaten niet langer blind te vertrouwen. Als je organisatie geen zaken doet met China, waarom zou je dan bijvoorbeeld überhaupt nog zaken doen met CNNIC? De gebruikte certificaten doorlichten betekent niet dat je meteen alle risico’s van het certificatensysteem hebt ondervangen, maar het is in elk geval een goede eerste stap om het risico op misbruik te verkleinen.
De Critical Security Controls van de Council of Cybersecurity is een lijst met specifieke en praktische aanbevelingen om cyberaanvallen af te weren. Ze zijn gebaseerd op beveiligingsmaatregelen, producten, architecturen en diensten uit de praktijk, op basis van daadwerkelijke aanvalspatronen bij zowel overheden als commerciële organisaties, waardoor ze een goed uitgangspunt vormen voor een solide beveiligingsplan. Het probleem is dat ondernemingen, als het in het nieuws komt, weliswaar onderkennen dat een beveiligingsprobleem als Superfish bestaat, maar dat ze niet goed weten hoe ze op die realiteit moeten reageren. Dat is de kern van het probleem. IT-security professionals moeten proactief zijn en de updates bijhouden die aan de Critical Security Controls worden toegevoegd, zodat ze hun verdediging altijd op orde hebben. Dat betekent een voortdurende evaluatie van de kwetsbaarheden, directe actie op geconstateerde gebreken, een inventarisatie van geautoriseerde en niet-geautoriseerde software en apparaten, en controle van de data recovery capaciteiten en de reactieprotocollen voor incidenten.
Zoals de Council of Security ook al aangeeft zijn er eindeloos veel lijsten die de veiligheid in cyberspace helpen verbeteren, maar hoe daarin prioriteit moet worden aangebracht is niet altijd even duidelijk. Het doel van de council als community is oplossingen te bieden voor de belangrijkste uitdagingen, bijvoorbeeld door aan te geven wat de meest waardevolle beveiligingsmaatregelen zijn. Deze inzichten worden voortdurend verwerkt in updates voor de Critical Security Controls.
In de afgelopen 12 maanden zijn belangrijke kwetsbaarheden en aanvallen ontdekt die hebben aangetoond dat onbeveiligde sleutels en certificaten door cybercriminelen misbruikt worden om ongemerkt hun gang te gaan. Het is duidelijk dat het vertrouwenssysteem voor het internet, zoals dat geregeld wordt door sleutels en certificaten, onder vuur ligt. Ondernemingen kunnen voor hun veiligheid niet langer vertrouwen op statische defensiemechanismen. Wat we nodig hebben is een immuunsysteem voor het internet. Net zoals de mensheid een zeer effectief immuunsysteem ontwikkeld heeft, zo moeten ook wij zorgen voor een actief systeem dat het internet weerbaar maakt tegen aanvallen van buiten, om te voorkomen dat het internet ten onder gaat aan een epidemie van cyberaanvallen.
Kevin Bocek, Vice President, Security Strategy and Threat Intelligence, Venafi
