Zodra mensen beveiligingsmaatregelen zien ontstaat er een gevoel van veiligheid, dat in de praktijk regelmatig niet terecht blijkt te zijn. Voorkom dat vertrouwelijke informatie wordt gestolen door ook veilige cloud- en netwerkverbindingen te controleren, in plaats van blindelings te vertrouwen.
Bij het gebruik van cloud-services wordt beveiliging als voordeel genoemd, omdat criminelen moeilijker kunnen inbreken in professioneel beveiligde datacenters, dan in bedrijfsnetwerken. Als de verbindingen naar die datacenters echter onvoldoende veilig zijn, ontstaat er een onterecht gevoel van schijnveiligheid.
Uit een door LBVD uitgevoerd jaarlijks onderzoek naar de digitale wereld, genaamd April Awareness, blijkt dat 87 procent van de Nederlandse websites die een beveiligde (https) verbinding aanbiedt, niet veilig zijn. Op die websites krijg je als nietsvermoedende bezoeker het vertrouwd groene slotje in de browser te zien, terwijl dat dus meestal onterecht is.
Ssl en tls
Https-verbindingen gebruiken ssl- of tls-encryptie om gegevens veilig te verzenden. Daar zijn echter verschillende versies van in omloop, die niet allemaal veilig zijn. Zowel ssl v2 als ssl v3 zijn onveilig, maar worden in de praktijk nog veel gebruikt. ssl v3 is onder andere kwetsbaar voor ‘man-in-the middle’ aanvallen, waarmee betalingsgegevens worden onderschept.
Uit genoemd onderzoek blijkt dat 68,6 procent van alle ip-adressen die https aanbieden nog ssl v3 ondersteunen. Tls v1.0 en tld v1.1 zijn over het algemeen nog wel veilig, maar tls v1.2 is het veiligst. Ip-apparaten die tls in combinatie met RC4 ciphers gebruiken, zijn echter niet veilig. Verder is ontdekt dat cybercriminelen verbindingen kunnen dwingen te downgraden van tls naar ssl, om bepaalde kwetsbaarheden alsnog te misbruiken.
Ssl-verkeer controleren
Om er zeker van te zijn dat cybercriminelen niet op slinkse wijze via ssl-injecties inbreken of ‘malware’ installeren, is het aan te raden om alle communicatie daar continu op te controleren. Zowel ingaand als uitgaand. Daarvoor is uiteraard veel rekenkracht nodig, die tegenwoordig standaard aanwezig is in nieuwe generatie ‘load balancers’, ook wel application delivery controllers (adc) genoemd.
Zo bevatten alle A10 Thunder adc’s ssl insight functionaliteit, waaronder url-classificatie, om op hoge snelheid ssl-verkeer te kunnen decrypten. Daardoor krijgen de gebruikers hiervan volledige controle over al het ssl-verkeer. Om zowel blinde vlekken in beveiligde verbindingen inzichtelijk te maken, als geavanceerde aanvallen te ontdekken. Eventueel aan te vullen met beveiligingsoplossingen en -services van derden.
Speciale ssl-hardware
Zoals er meerdere wegen naar Rome leiden, bestaan er ook verschillende oplossingen om ssl-verkeer te inspecteren. Bij de selectie daarvan is het belangrijk te letten op de verwerkingscapaciteit en mogelijke beïnvloeding van andere functionaliteit. Cybercriminelen proberen namelijk in toenemende mate via meerdere ingangen tegelijkertijd binnen te dringen, waardoor de zwakste schakel maatgevend is.
Verder is de benodigde capaciteit nog afhankelijk van de gebruikte sleutellengte (1024, 2048 of 4096 bits). Adc’s kunnen met behulp van speciale ssl-processoren simultaan meerdere beveiligde verbindingen controleren, zonder dat cloud-services daar merkbare hinder van ondervinden. Tenslotte zijn ze ook te gebruiken om de intensieve encryptie- en decryptie-taken van andere apparatuur over te nemen.
Jaja tis duidelijk, we moeten een A10 van Harry Driedijk kopen.
Dan weet je tenminste zeker dat je data tussen je browser en de webserver onderweg volledig decrypt wordt, ongeacht het protocol. Veilig hoor ..