'Cybersecurity roer moet om'

De beveiliging van Internet is zo lek als een mandje. Als gevolg daarvan kunnen cybercriminelen banken digitaal beroven, bedrijven en ziekenhuizen gijzelen voor losgeld en webservices platleggen met een DDoS-aanval. Vrijwel dagelijks worden mensen geconfronteerd met securityincidenten. Dat zal met de ontwikkeling van het ‘Internet-of-Things’ en ‘Smart Cities’ alleen maar gaan toenemen. Venafi’s Chief Security Strategist Kevin Bocek adviseert het roer om te gooien door de securityfundering van het Internet, zijnde digitale certificaten en encryptiesleutels, structureel beter te gaan beschermen.         

Achterdeurtjes in soft- en hardware

Een groot deel van alle cybersecurityincidenten is het gevolg van achterdeurtjes in mobiele apps, desktopapplicaties, webservices en beveiligingsoplossingen. Wanneer de ontwikkelaar van soft- en hardware via een achterdeurtje toegang creëert tot de eigen producten, is het slechts een kwestie van tijd voordat cybercriminelen, ethische hackers en veiligheidsdiensten dat ook kunnen. Achterdeurtjes leiden dus altijd tot securityincidenten. Een actueel voorbeeld is het deurtje dat Facebook toegang geeft tot alle versleutelde Whatsapp-communicatie. Hoewel Facebook het bestaan daarvan stellig ontkent, krijgen veel mensen het gevoel: waar rook is, is vuur. “Vanwege het grote aantal gebruikers is de kans op misbruik van een kwetsbaarheid in Whatsapp’s encryptie enorm”, zegt Bocek. “Gezien de reacties hierover lijkt het slecht managen van alle encryptiesleutels een risico te zijn. Dit potentiële beveiligingslek in een app die meer dan een miljard mensen dagelijks gebruikt, moet voor bedrijven een duidelijke waarschuwing zijn voor de mogelijke businessimpact. Daar kan men zich alleen tegen beschermen met een systeem dat encryptiesleutels effectief beschermt of snel vervangt bij een incident.”

Verkeerde, verlopen en nagemaakte certificaten

De laatste tijd is er ook een toename te bespeuren van het aantal securityincidenten veroorzaakt door verkeerde, verlopen of nagemaakte certificaten. Zo is Symantec onlangs op de vingers getikt vanwege het uitgeven van ruim 100 verkeerde certificaten van juli 2016 tot januari 2017. Daarmee hebben ze de integriteit van versleuteld en geauthentiseerd Internet-verkeer in diskrediet gebracht. “Meerdere CA’s, waaronder GlobalSign, Symantec en WoSign, hebben de afgelopen jaren kostbare fouten veroorzaakt met het uitgeven van certificaten”, licht Bocek toe. Een trend die waarschijnlijk gaat toenemen. Daarom is het belangrijk dat organisaties zichzelf en hun klanten beter gaan beschermen tegen deze incidenten. Met andere woorden in staat zijn ongeautoriseerde certificaten snel te ontdekken en te vervangen, of indien nodig van CA te veranderen. Als organisaties van één CA afhankelijk zijn kunnen de gevolgen van een securityincident groot zijn, zoals onder andere uit de Nederlandse Diginotar case is gebleken. Een ander voorbeeld is het vervangen van 9000 certificaten door GoDaddy omdat die door een softwarebug niet goed waren gevalideerd. Al deze incidenten ondermijnen het vertrouwen in digitale certificaten, waarop de Internet-security voor alle organisaties en mensen is gefundeerd.”

Malware en ransomware

Een derde grote probleemveroorzaker is malware en ransomware. De meeste organisaties hebben al decennialang securityoplossingen in gebruik die hen daartegen zouden moeten beschermen. Inderdaad ‘zouden moeten’, want als die systemen zelf zwakheden bevatten, worden de gebruikers ervan onbewust en ongewild kwetsbaar. Een actueel voorbeeld daarvan is het door Google ontdekte uitzetten van de SSL-certificaatverificatie door een inspectieoplossing van Kaspersky. “Dit incident doet mij denken aan Lenovo’s Superfish malwaresoftware, die meegeleverd op hun computers MITM-aanvallen kon uitvoeren”, zegt Bocek. “Beide voorbeelden maken misbruik van encryptiesleutels en digitale certificaten mogelijk, waarop zowel organisaties als consumenten blindelings vertrouwen. Zo’n zwakheid biedt cybercriminelen de mogelijkheid nagemaakte websites in de browser te plaatsen en privécommunicatie te onderscheppen. Of het nu de bedoeling is om miljoenen gebruikersgegevens te stelen van online serviceproviders als Yahoo, medische informatie van ziekenhuizen te bemachtigen of banken digitaal te beroven, encryptiesleutels en digitale certificaten zijn effectieve cyberwapens. Daar kunt u organisaties zich alleen maar beter tegen beschermen door alle duizenden gebruikte certificaten en sleutels met een centrale oplossing geautomatiseerd te gaan beheren.”