“OpenSSL-versies getroffen door ernstig lek”

Statement van Kevin Bocek, VP Security Strategy and Threat Intelligence bij Venafi?, naar aanleiding van het beveiligingslek in OpenSSL waar vandaag meer duidelijkheid over werd gegeven.

“Door de meest recente bug die is aangetroffen in het OpenSSL versleutelingsprotocol blijkt maar weer eens dat organisaties hun deuren voor cybercriminelen nog steeds wijd open zetten. Zij verzuimen om hun digitale certificaten en encryptiesleutels, die juist voor vertrouwen in de digitale wereld moeten zorgen, adequaat te beschermen.

In het onderhavige geval slaagde een aanvaller erin om op eenvoudige wijze de certificaatautoriteiten (CA’s) om de tuin te leiden. Het door de cybercrimineel aangeboden malafide certificaat werd keurig geverifieerd en als ‘betrouwbaar’ beoordeeld op zowel servers, mobiele telefoons als desktops.

In tegenstelling tot andere kwetsbaarheden worden door het meest recente lek applicaties geraakt die overal digitale certificaten valideren. Kwaadwillenden maken dankbaar misbruik van het feit dat ondernemingen blind vertrouwen op de certificaatautoriteiten. De gemakkelijkste, snelste en meest effectieve manier om bedrijfsnetwerken te besmetten met malware is door klakkeloos gecompromitteerde of gestolen digitale certificaten te accepteren als ‘betrouwbaar’.

Cybercriminelen weten dat de meeste ondernemingen niet in staat zijn om ‘namaak’ digitale certificaten, die worden gebruikt om applicaties en gebruikers te authentiseren op hun netwerken, tijdig op te sporen en hierop snel te reageren. Misbruik bij deze nieuw ontdekte kwetsbaarheid ligt dan ook op de loer. Multinationals beschikken over tienduizenden encryptiesleutels en digitale certificaten en houden hiervan helaas geen nauwkeurige voorraadadministratie bij. Ook weten ze vaak niet waar de sleutels en certificaten exact worden toegepast en zijn ze niet op de hoogte wie ze allemaal gebruiken. Tot slot hebben ondernemingen geen geschikt systeem geïmplementeerd om de sleutels en certificaten afdoende te beschermen.

Met gestolen digitale certificaten hebben cybercriminelen vrij spel en kunnen ze ondernemingen en instellingen nog veel meer schade berokkenen. SSL en SSH maskeren het communicatiekanaal waar de aanvallers gebruik van maken. Deze onzichtbaarheid verschaft de cybercriminelen een perfecte dekmantel, waarmee ze lange tijd ongestoord hun gang kunnen gaan met hun criminele activiteiten.

Het is de hoogste tijd dat ondernemingen meer grip krijgen op de encryptiesleutels en digitale certificaten die ze hebben verspreid. Ook is het van belang dat ze weten welke certificaten ze kunnen vertrouwen en waar ze zich precies bevinden: op welke servers en andere apparaten. Zolang dat nog niet het geval is, zullen we voortdurend worden opgeschrikt door nieuwe beveiligingsincidenten en inbreuken op de internetveiligheid. Niemand zal hier  gevrijwaard van blijven.”

– Kevin Bocek, VP Security Strategy and Threat Intelligence bij Venafi?