SSL is zo zeker nog niet

Het groene icoontje in uw browser zou moeten betekenen dat het licht op groen...

Secwatch

Gepubliceerd op 28-10-2014


Het groene icoontje in uw browser zou moeten betekenen dat het licht op groen staat voor veilig gebruik van vertrouwelijke gegevens. Banktransacties, persoonlijke gegevens, medische data en meer. Maar er is blijkbaar meer nodig dan een verkeerslicht om aan te geven of je écht veilig bent.

In de rij van recent ontdekte IT kwetsbaarheden is nu POODLE aangeschoven, na eerder ShellShock, Beast, Heartbleed en andere openbaringen. Ondanks dat Poodle eens stuk vriendelijker klinkt, staat het wel ergens voor (Padding Oracle On Downgraded Legacy Encryption) en kan het wel degelijk een serieuze impact hebben op de beveiliging van uw systemen en communicatie. Poodle betreft een kwetsbaarheid van de SSL versie 3 encryptie technologie, nadat eerder SSL versie 2 ook al onveilig was gebleken. SSL3 wordt onder meer gebruikt in OpenSSL en is een verouderd onderdeel van het SSL protocol dat met name nog wordt gebruikt voor communicatie met oudere (legacy) toepassingen.

Poodle moet wel de mogelijkheid worden geboden om zijn kwaad te doen door toegang te krijgen tot de SSL-communicatie van de gebruiker. Dit gebeurt door een ‘Man-in-the-Middle’ (MitM) aanval waarmee een aanvaller bepaalde Javascript-code kan injecteren in een sessie van een gebruiker. De makkelijkste en meest voorkomende manier hiervoor is via een open, onbeveiligd WiFi-netwerk, maar er zijn ook andere opties. Wanneer de SSL-communicatie daarna door een aanvaller is ontdekt, kan deze worden onderschept en zodanig worden bewerkt dat hij toegang krijgt tot met SSL beveiligde websites en communicatie van de gebruiker. Wat de aanvaller daarna van plan is met deze veilig gewaande gegevens laat zich raden.

Naast Poodle is tevens bekend gemaakt dat kwetsbaarheden zijn ontdekt in het SHA1 algoritme dat nog veelal wordt gebruikt voor SSL certificaten en digitale handtekeningen. Inmiddels is wereldwijd een overgang ingezet naar de SHA2 algoritmes waarmee deze kwetsbaarheden worden voorkomen, maar systemen die nog gebruik maken van SHA1, ook al loopt de certificaattermijn door tot in 2015 of later, dienen nu hierop te worden aangepast.

Aangezien SSL nu wereldwijd onder een vergrootglas ligt en wordt beoordeeld, worden ook andere zaken die mogelijk tot een kwetsbaarheid zouden kunnen gaan leiden aangepast. Zo worden SSL-certificaten op interne servernamen (bijv. .local) niet langer uitgegeven en moeten deze worden aangepast.

poodle ssl vulnerabilityHoe kwalijk zijn Poodle en de SSL-aandachtspunten voor u en voor uw organisatie? Minder kwalijk dan de eerder genoemde Heartbleed en ShellShock, maar serieus genoeg om er direct iets aan te (laten) doen. De eerste stap kan iedere organisatie en iedere gebruiker relatief makkelijk zelf doen: schakel SSL2 en SSL3 uit op alle systemen, webapplicaties, browsers en meer en stap over op TLS (1.0/1.2). Instructies hiervoor zijn online makkelijk te vinden.

 

Vervang ook al uw SHA1 certificaten voor SHA2 certificaten; dit kan veelal gratis en uw certificaatleverancier weet hier meer van. Maak natuurlijk voorafgaand aan alle aanpassingen de vereiste backups van de systemen, zodat er niets fout kan gaan. Herstart alle aangepaste systemen en controleer de juiste werking.

Quick Todo List (Server Administrators)

  • Vervang uw huidige oude certificaten voor een SHA2 certificaat of beter, dit kan veelal gratis
  • Implementeer deze certificaten, root certificaten en intermediate certificaten
  • Schakel SSL2.0 en SSL3.0 uit op uw systeem, bijvoorbeeld voor OWA op IIS, en faciliteer TLS1.0 / TLS 1.2.
  • Schakel zwakke cypher suites uit en laat alleen sterke cypher suites in gebruik
  • Herstart de machines (indien nodig) en check op https://www.ssllabs.com/ of uw SSL en Certificaatomgeving in orde is

Kijk voor meer achtergrondinformatie en handleidingen

Maar wanneer u echt zeker wilt zijn dat deze poedel of andere SSL-kwetsbaarheden niet aan de wandel gaan met uw gegevens, dan biedt de SECWATCH Vulnerability Management de betere oplossing. Hiermee maken wij voor u precies inzichtelijk waar de kwetsbaarheden zitten en hoe wij die voor u kunnen oplossen.

Gerelateerde onderwerpen

Telefoonnummer gekopieerd naar klembord