Undersøgelse af, hvordan virksomheden håndterer og implementerer sikkerhedscertifikater, har afsløret risici for data, som kan blive overset.
Torsdag offentliggjorde Detectify Labs-teamet en rapport baseret på den indledende analyse af offentlige SSL/TLS-certifikater, udført fra juni 2021.
Teamet siger, at der er “faldgruber” ved udrulningen af disse certifikater, som “kan føre til, at virksomhedens data bliver afsløret eller kompromitteret af ondsindede aktører.”
SSL/TLS-certifikater, der er udstedt af certifikatmyndigheder (CA), bruges til at godkende og sikre forbindelser foretaget via en browser. Kryptering bruges til at beskytte kommunikationsstrømme under onlinesessioner.
Når vigtige oplysninger overføres – herunder indsendelse af personlige data, eller når finansielle transaktioner udføres – er kryptering via certifikater nøglen til at forhindre tyveri, aflytning og Man-in-The-Middle (MiTM)-angreb.
“SSL/TLS-certifikater gør internettet til et mere sikkert sted, men mange virksomheder er ikke klar over, at deres certifikater kan blive et skueglas ind i organisationen – potentielt lækker fortrolig information og skabe nye indgangspunkter for angribere.” sagde cybersikkerhedsforskerne.
Detectify-analysen omfattede undersøgelse af over 900 millioner SSL/TLS-certifikater og tilknyttede hændelser genereret fra udstedende organisationer, herunder Google, Amazon, Let's Encrypt og Digicert, gjort mulig gennem offentlige datapunkter. Mens undersøgelsen er i gang, har holdet fremhævet nogle af de risici, der er forbundet med især SSL-certifikater.
Det første problem er, at “det overvældende flertal af nyligt certificerede domæner” har fået beskrivende navne. Ifølge Detectify-forsker Fredrik Nordberg Almroth kan dette forekomme harmløst, men hvis der udstedes certificering på et udviklingstrin, kan det give konkurrenterne tid til at underminere nye virksomheder eller produkter, før de når markedet.
Derudover kan jokertegncertifikater, ofte en billigere mulighed for virksomheder, være modtagelige for Application Layer Protocols, der tillader Cross-Protocol Attack (ALPACA). Cirka 13 % af datasættet var relateret til brug af jokertegn.
Det amerikanske National Security Agency (NSA) advarede om ALPACA i oktober i år. Angrebsvektoren kan bruges til at narre servere med ukrypterede protokoller til at stjæle cookies, brugerdata eller til at udføre cross-site scripting (XSS) angreb.
Dette er kun to potentielle risici forbundet med sikkerhedscertifikater, men teamet siger, at der er mere at undersøge.
“Vi er kun lige begyndt at grave i dataene,” kommenterede Almroth. “Der er flere måder, hvorpå en angriber kan bruge offentlig information om SSL/TLS-certifikater til at kortlægge en virksomheds angrebsoverflade for at forstå, hvor svaghederne er. For eksempel kan en angriber se, om et certifikat er ved at udløbe eller er blevet underskrevet ved hjælp af en svag signaturalgoritme. Sidstnævnte kan udnyttes til at lytte med på webstedstrafik eller oprette et andet certifikat med den samme signatur – hvilket giver en angriber mulighed for at posere som den berørte tjeneste.”
Så hvad kan organisationer gøre i mellemtiden? Detectify anbefaler, at du implementerer SSL/TLS-certifikater, men det er også nødvendigt løbende at overvåge dem for svagheder eller mistænkelig adfærd.
Tidligere forskning har også fundet ud af, at softwarefejl og fejlfortolkning af industristandarder normalt er årsagen til forkert udstedte SSL-certifikater.
I andre certifikatnyheder i denne uge sagde Microsoft, at et certifikat, der udløb den 31. oktober, har påvirket Windows 11-funktioner, herunder det indbyggede klippeværktøj, berøringstastatur og stemmeskrivning. En rettelse er indstillet til at blive sendt til brugere, der er berørt af problemet.
Tidligere og relateret dækning
Udløbet certifikat nedbrydes Windows 11-udskæringsværktøj, S-tilstands startmenu og indstillingsside
De fleste fejludstedelser af SSL-certifikater forårsaget af softwarefejl og fejlfortolkninger af regler
Apple stærke- bevæbner hele CA-industrien til et års certifikatlevetid
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre