IT Security Pros negeren risico’s van vervalste certificaten
11 september 2015 -
Onderzoek in opdracht van Venafi onder 300 IT Security Professionals tijdens Black Hat USA toont aan dat deze specialisten weten dat niet alle certificaatverstrekkers (CA’s) betrouwbaar zijn.
Deze zelfde specialisten begrijpen het risico dat gelopen wordt door onbetrouwbare CA’s maar ondernemen geen actie om mogelijk vervalste certificaten te detecteren en niet weten hoe ze moeten reageren als ze met zo’n vervalsing te maken krijgen.
Vervalsing mogelijk Venafi publiceerde de resultaten van het Black Hat USA 2015 onderzoek, uitgevoerd onder 300 IT Security Professionals tijdens de Black Hat conferentie die begin augustus werd gehouden in Las Vegas (USA). Uit het onderzoek blijkt dat de meeste IT Security Professionals weten dat de certificaten en sleutels die gelden als de basis van alle cybersecurity kunnen worden vervalst, maar dat ze er geen actie op ondernemen. Het onderzoek toont ook aan dat lang niet alle security professionals begrijpen welke rol de certificaatautoriteiten (CAs) precies spelen en welke security diensten zij al dan niet leveren.
Controlemiddel
Cryptografische sleutels en digitale certificaten zijn ontworpen om servers en andere security applicaties een controlemiddel te geven waarmee ze al het IP-gebaseerde verkeer, waaronder dat van servers, clouds, applicaties en Internet of Things (IoT) apparaten, kunnen identificeren als afkomstig van een al dan niet veilige bron. Het blind vertrouwen in de betrouwbaarheid van deze oplossing wordt tegenwoordig echter steeds vaker misbruikt door cybercriminelen, die zich verschuilen achter een ogenschijnlijk betrouwbare identiteit, om zo toegang te krijgen tot waardevolle data. Recente voorbeelden zijn onder meer de General Motors (GM) RemoteLink applicatiehack, die mogelijk werd gemaakt door ontoereikende SSL/TLS validatie en de zaak van de Federal Reserve Bank van St. Louis (USA), waar inconsistent gebruik van SSL/TLS en meerdere CAs (inclusief GoDaddy) aanvallers in staat stelde websites te vervalsen, bezoekers door te sturen naar geïnfecteerde adressen en klanten gericht aan te vallen.
Digitaal vertrouwen
Er zijn honderden CAs die wereldwijd handelen in digitaal vertrouwen. Volgens het Ponemon Instituut heeft de gemiddelde organisatie meer dan 23.000 sleutels en certificaten. Als een grote CA gecompromitteerd wordt, of als een CA onterecht ongeautoriseerde certificaten uitgeeft, stelt dat kwaadwillenden in staat zich voor te doen als vertrouwde afzenders, om zo bijvoorbeeld versleuteld verkeer te lezen of zich te verschuilen achter de identiteit van vertrouwde websites, software of beheerders. Onveilige sleutels en certificaten geven aanvallers vertrouwde toegang tot het netwerk van hun doelwit en stelt ze in staat lange tijd onzichtbaar te blijven, ook voor de meeste bekende beveiligingsoplossingen.
Punten
Enkele belangrijke punten uit Verafi’s Black Hat USA 2015 onderzoek:
- 90 procent van de respondenten gelooft dat ergens in de komende twee jaar een geslaagde aanval zal plaatsvinden op een van de grote certificaatverstrekkers die de basis vormen van een vertrouwd internet. Ondanks dat 90 procent gelooft dat een toonaangevende CA als Symantec, Entrust of Comodo binnen nu en twee jaar gekraakt zal worden, heeft maar dertien procent een geautomatiseerd proces klaarstaan om op zo’n situatie te reageren. Zonder een CA migratieplan en een geautomatiseerd proces, zullen organisaties alle certificaten die door een gecompromitteerde CA zijn uitgegeven razendsnel en met de hand moeten migreren naar een andere CA. Gezien het feit dat de gemiddelde organisatie meer dan 23.000 certificaten gebruikt en dat het gemiddeld vier uur duurt om een enkel certificaat op één systeem te vervangen, is het handmatig vervangen van alle certificaten en de bijbehorende sleutels praktisch onhaalbaar.
- Driekwart (74 procent) van de respondenten blijkt verrassend genoeg niet te weten dat CNNIC als CA onbetrouwbaar is en heeft geen stappen ondernomen om gebruik van deze CA tegen te houden, ook al hebben zowel Google als Mozilla inmiddels aangekondigd CNNIC niet langer te vertrouwen. Op de vraag wat infosec pros hebben gedaan met het nieuws dat de officiële Chinese regerings-CA CNNIC (China Internet Network Information Center) uit de gratie is gevallen bij Google en Mozilla (vanwege de uitgifte van onbetrouwbare certificaten), antwoordde slechts 26 procent dat CNNIC daadwerkelijk werd verwijderd van alle desktops, laptops en mobiele apparaten. Van de overige respondenten heeft 23 procent nog helemaal niets gedaan, wacht zeventien procent of Apple en Microsoft ook nog iets gaan doen en heeft 34 procent simpelweg geen idee.
- Bijna tweederde van de infosec pros begrijpt wel degelijk wat het risico is van onbetrouwbare CAs zoals CNNIC. Uit de antwoorden op de vraag welke beveiligingsrisico’s ontstaan als een onbetrouwbare CA certificaten uitgeeft voor hun browser, applicatie of mobiel apparaat, blijkt dat 58 procent van de respondenten het risico ziet van MITM (Man-in-the-Middle) aanvallen en dat veertien procent zich zorgen maakt over replay attacks. Dat betekent in feite dat een groot deel van de respondenten de risico’s wel ziet, maar er geen enkele actie op onderneemt.
- 63 procent van de infosec professionals gelooft onterecht dat een certificaatautoriteit zelf certificaten en cryptografische sleutels beveiligt. Op de vraag of een CA ze beschermt tegen diefstal, misbruik of vervalsing van digitale certificaten, antwoordde slechts 37 procent terecht met "nee". De rest dacht van wel (29 procent) of had geen idee (34 procent). CAs geven certificaten uit of trekken ze in – maar ze controleren niet hoe ze in de praktijk worden gebruikt en kunnen dan ook de veiligheid van de certificaten niet garanderen.
- Hoewel mobiele apparaten gewoonlijk honderden CAs vertrouwen, geloven de respondenten in dit onderzoek dat het er maar drie zijn.Op de vraag hoeveel CAs vertrouwd worden op mobiele apparaten, geloofden de respondenten dat het er gemiddeld maar drie zijn. Voor Apple iOS apparaten gokten de deelnemers gemiddeld zelfs op twee. In werkelijkheid zijn het er 240.
"De resultaten van dit onderzoek zijn verontrustend, kijkend naar het aantal IT Security professionals die weliswaar beseffen wat het risico is van CAs en misbruikte certificaten, maar die geen oplossing klaar hebben om dat probleem het hoofd te bieden," zegt Kevin Bocek, Vice President Security Strategy and Threat Intelligence bij Venafi. "Van DigiNotar tot MCS Holdings en Google blijven organisaties blind vertrouwen op certificaten, zonder maatregelen te nemen of te ontwikkelen om te kunnen reageren op misbruik. Cybercriminelen weten heel goed wat de gevolgen van frauduleuze certificaten en misbruikte sleutels kunnen zijn en ze zullen er gebruik van blijven maken voor APT-achtige aanvallen, simpelweg omdat ze weten dat het werkt."
Meer aanvallen
Bocek: "Als we ons onderzoek mogen geloven en als IT security professionals werkelijk de risico’s inzien van onbetrouwbare CAs als CNNIC maar daar niets mee doen, dan is het onvermijdelijk dat we meer en meer MITM aanvallen en andere certificaat-gerelateerde inbraken gaan zien. We leven helaas in een online wereld die we niet kunnen vertrouwen, omdat er geen immuunsysteem bestaat dat alarm slaat als booswichten misbruik maken van de sleutels en certificaten die juist ontworpen zijn om ons te beschermen. In zijn algemeenheid is het tijd dat internationale organisaties en IT- en security-specialisten en -teams wakker worden en actie ondernemen om de veiligheid van hun sleutels en certificaten te garanderen. Het wordt ook tijd dat ze inzien dat CAs ze daar niet bij kunnen helpen. Er komen miljarden apparaten online en er staan nog veel meer IoT-apparaten te trappelen in de coulissen. De bescherming van de sleutels en certificaten die we gebruiken om al die apparaten veilige en vertrouwde toegang te geven, is van cruciaal belang."
Het volledige Venafi Black Hart 2015 onderzoeksrapport is te downloaden via Venafi.com/BH2015.