Onderzoek naar hoe de onderneming met beveiligingscertificaten omgaat en deze implementeert, heeft risico's voor gegevens aan het licht gebracht die mogelijk over het hoofd worden gezien.
Donderdag publiceerde het Detectify Labs-team een rapport op basis van de eerste analyse van openbare SSL/TLS-certificaten, uitgevoerd vanaf juni 2021.
Het team zegt dat er “valkuilen” zijn bij de inzet van deze certificaten die “kan ertoe leiden dat bedrijfsgegevens worden blootgesteld of gecompromitteerd door kwaadwillende actoren.”
SSL/TLS-certificaten, uitgegeven door certificeringsinstanties (CA), worden gebruikt om verbindingen via een browser te verifiëren en te beveiligen. Versleuteling wordt gebruikt om communicatiestromen tijdens online sessies te beschermen.
Wanneer belangrijke informatie wordt overgedragen – inclusief het indienen van persoonlijke gegevens of wanneer financiële transacties worden uitgevoerd – is versleuteling via certificaten de sleutel tot het voorkomen van diefstal, afluisteren en Man-in-the-Middle (MiTM)-aanvallen.
“SSL/TLS-certificaten maken het internet veiliger, maar veel bedrijven zijn zich er niet van bewust dat hun certificaten een spiegel voor de organisatie kunnen worden, waardoor vertrouwelijke informatie kan lekken en nieuwe toegangspunten voor aanvallers kunnen ontstaan.” aldus de cybersecurity-onderzoekers.
De Detectify-analyse omvatte het onderzoek van meer dan 900 miljoen SSL/TLS-certificaten en bijbehorende gebeurtenissen gegenereerd door uitgevende organisaties zoals Google, Amazon, Let's Encrypt en Digicert, mogelijk gemaakt via openbare datapunten. Terwijl het onderzoek aan de gang is, heeft het team enkele van de risico's van met name SSL-certificaten benadrukt.
Het eerste probleem is dat de “overweldigende meerderheid van nieuw gecertificeerde domeinen” beschrijvende namen heeft gekregen. Volgens Detectify-onderzoeker Fredrik Nordberg Almroth lijkt dit misschien onschuldig, maar als certificering in een ontwikkelingsfase wordt afgegeven, kan dit concurrenten de tijd geven om nieuwe bedrijven of producten te ondermijnen voordat ze op de markt komen.
Bovendien kunnen wildcard-certificaten, die vaak een goedkopere optie zijn voor bedrijven, vatbaar zijn voor Application Layer Protocols die Cross-Protocol Attack (ALPACA) toestaan. Ongeveer 13% van de dataset had betrekking op het gebruik van wildcards.
De Amerikaanse National Security Agency (NSA) waarschuwde in oktober van dit jaar voor ALPACA. De aanvalsvector kan worden gebruikt om servers te misleiden met niet-versleutelde protocollen om cookies en gebruikersgegevens te stelen of om cross-site scripting (XSS)-aanvallen uit te voeren.
Dit zijn slechts twee mogelijke risico's die samenhangen met beveiligingscertificaten, maar het team zegt dat er meer moet worden onderzocht.
“We zijn nog maar net begonnen in de gegevens te graven”, merkte Almroth op. “Er zijn verschillende manieren waarop een aanvaller openbare informatie over SSL/TLS-certificaten kan gebruiken om het aanvalsoppervlak van een bedrijf in kaart te brengen om te begrijpen waar de zwakke punten zich bevinden. Een aanvaller kan bijvoorbeeld zien of een certificaat op het punt staat te verlopen of is ondertekend met een zwak handtekeningalgoritme. Dit laatste kan worden misbruikt om mee te luisteren met websiteverkeer of om een ander certificaat met dezelfde handtekening te maken, waardoor een aanvaller zich kan voordoen als de getroffen service.”
Wat kunnen organisaties in de tussentijd doen? Detectify raadt u aan SSL/TLS-certificaten te implementeren, maar het is ook noodzakelijk om deze voortdurend te controleren op zwakke punten of verdacht gedrag.
Uit eerder onderzoek is ook gebleken dat softwarefouten en de verkeerde interpretatie van industriestandaarden normaal gesproken de oorzaak zijn van onjuist uitgegeven SSL-certificaten.
In ander certificaatnieuws deze week zei Microsoft dat een certificaat dat op 31 oktober is verlopen, gevolgen heeft gehad voor Windows 11-functies, waaronder het ingebouwde knipprogramma, het aanraaktoetsenbord en spraakgestuurd typen. Er wordt een oplossing gepusht naar gebruikers die door het probleem worden getroffen.
Vorige en gerelateerde dekking
Verlopen certificaat downs Windows 11 knipprogramma, S-modus startmenu en instellingenpagina
Meeste SSL-certificaatmisbruik veroorzaakt door softwarefouten en verkeerde interpretaties van regels
Apple sterk- zet de hele CA-industrie in op een certificaatlevensduur van één jaar
Heeft u een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters