Nieuwe DROWN-bug: HTTPS is ook niet altijd veilig

En u dacht altijd veilig te zijn wanneer websites een groen blokje met hun...

Secwatch

Gepubliceerd op 02-03-2016


En u dacht altijd veilig te zijn wanneer websites een groen blokje met hun naam hadden staan voor hun website-adres? Helaas niet. Er is een nieuwe kwetsbaarheid in de communicatiebeveiliging van websites ontdekt waardoor websites toch minder veilig kunnen zijn dan ze zeggen. De achterliggende techniek, SSL herkenbaar aan de HTTPS in het website-adres en het groene blokje, blijkt in sommige gevallen relatief eenvoudig te breken. Eerste schattingen geven aan dat zo’n 33% van alle op deze manier beveiligde websites ter wereld hiervoor kwetsbaar zijn.

Wat is uw risico?

Hackers zijn in principe in staat om alle gegevens die worden uitgewisseld tussen een website-bezoeker en de website te ondervangen. Dit kan dus de gebruikersnaam en het wachtwoord zijn, maar ook creditcard gegevens, financiële informatie of vertrouwelijk e-mailverkeer. Want dit risico treft niet alleen websites, maar ook e-mailservers, online shops en chatfora – alles wat SSL toepast, kan kwetsbaar zijn.

Hoe komt dit?

DROWN, zoals deze nieuwe kwetsbaarheid wordt genoemd, richt zijn pijlen op het gebruik van TLS en SSL v2. TLS is een moderne beveiligingstechnologie die een goede security biedt, maar veel systemen bieden tevens nog ondersteuning voor gebruik van de TLS-voorganger SSL v2. Onderzoek bevestigt zelfs tot 17% van alle HTTPS-servers. Soms gebeurt dit bewust, maar veelal is dit onbewust door verkeerde configuratie of achterstallig onderhoud.

Een tweede risico ontstaat wanneer een SSL private key die SSL v2 verkeer toestaat wordt gebruikt op verschillende servers, zoals een webserver, een e-mailserver en een e-commerce server. Wanneer één van de drie maar SSL v2 ondersteunt, dan zijn ze toch alle drie kwetsbaar voor de DROWN-bug. En met alle gevolgen van dien. Dit risico bestaat bij nog zo’n 16% van alle HTTPS-servers en maakt het totaal van 33% kwetsbare servers.

Wat kunt u daar als website bezoeker aan doen? Helaas niets.

Dit probleem kan alleen maar worden opgelost aan de server-kant en de gebruikers of websitebezoekers kunnen zich er zelf niet tegen beschermen. Het belangrijkste is dat het gebruik van SSL v2 wordt gestopt en vervangen door moderner en veiliger beveiligingstechnologieën. Voor nagenoeg alle bekende producten, zoals OpenSSL, Microsoft IIS, Apache, etc., zijn maatregelen beschikbaar om systemen aan te passen en de risico’s van de DROWN-bug te voorkomen.

Meer technische informatie is beschikbaar op https://drownattack.com/drown-attack-paper.pdf

Wat kan SECWATCH hierbij voor u betekenen?

Heeft u een SECWATCH Next-Gen Vulnerability Assessment abonnement, dan controleren wij automatisch uw systemen en rapporteren wij u onze bevindingen, incl. aanbevelingen. Maar ook wanneer u nog geen security abonnement bij ons heeft afgesloten dan zijn wij voor u beschikbaar. Neem dan contact met ons op voor een security scan op maat.

Gerelateerde onderwerpen

Telefoonnummer gekopieerd naar klembord