IT Security Pros negeren risico’s van vervalste certificaten

Onderzoek in opdracht van Venafi onder 300 IT Security Professionals tijdens Black Hat USA toont aan dat deze specialisten weten dat niet alle certificaatverstrekkers (CA’s) betrouwbaar zijn. Deze zelfde specialisten begrijpen het risico dat gelopen wordt door onbetrouwbare CA’s maar ondernemen geen actie om mogelijk vervalste certificaten te detecteren en niet weten hoe ze moeten reageren als ze met zo’n vervalsing te maken krijgen.

Salt Lake City, Utah, USA – 10 september 2015 – Venafi, het Immuunsysteem voor het Internet™ en leverancier van Next Generation Trust Protection, publiceert vandaag de resultaten van het Black Hat USA 2015 onderzoek, uitgevoerd onder 300 IT Security Professionals tijdens de Black Hat conferentie die begin augustus werd gehouden in Las Vegas (USA). Uit het onderzoek blijkt dat de meeste IT Security Professionals weten dat de certificaten en sleutels die gelden als de basis van alle cybersecurity kunnen worden vervalst, maar dat ze er geen actie op ondernemen. Het onderzoek toont ook aan dat lang niet alle security professionals begrijpen welke rol de certificaatautoriteiten (CAs) precies spelen en welke security diensten zij al dan niet leveren.

Cryptografische sleutels en digitale certificaten zijn ontworpen om servers en andere security applicaties een controlemiddel te geven waarmee ze al het IP-gebaseerde verkeer, waaronder dat van servers, clouds, applicaties en Internet of Things (IoT) apparaten, kunnen identificeren als afkomstig van een al dan niet veilige bron. Het blind vertrouwen in de betrouwbaarheid van deze oplossing wordt tegenwoordig echter steeds vaker misbruikt door cybercriminelen, die zich verschuilen achter een ogenschijnlijk betrouwbare identiteit, om zo toegang te krijgen tot waardevolle data. Recente voorbeelden zijn onder meer de General Motors (GM) RemoteLink applicatiehack, die mogelijk werd gemaakt door ontoereikende SSL/TLS validatie en de zaak van de Federal Reserve Bank van St. Louis (USA), waar inconsistent gebruik van SSL/TLS en meerdere CAs (inclusief GoDaddy) aanvallers in staat stelde websites te vervalsen, bezoekers door te sturen naar geïnfecteerde adressen en klanten gericht aan te vallen.

Er zijn honderden CAs die wereldwijd handelen in digitaal vertrouwen. Volgens het Ponemon Instituut heeft de gemiddelde organisatie meer dan 23.000 sleutels en certificaten. Als een grote CA gecompromitteerd wordt, of als een CA onterecht ongeautoriseerde certificaten uitgeeft, stelt dat kwaadwillenden in staat zich voor te doen als vertrouwde afzenders, om zo bijvoorbeeld versleuteld verkeer te lezen of zich te verschuilen achter de identiteit van vertrouwde websites, software of beheerders. Onveilige sleutels en certificaten geven aanvallers vertrouwde toegang tot het netwerk van hun doelwit en stelt ze in staat lange tijd onzichtbaar te blijven, ook voor de meeste bekende beveiligingsoplossingen.

Enkele belangrijke punten uit Verafi’s Black Hat USA 2015 onderzoek:

• 90% van de respondenten gelooft dat ergens in de komende twee jaar een geslaagde aanval zal plaatsvinden op een van de grote certificaatverstrekkers die de basis vormen van een vertrouwd internet.
  Ondanks dat 90% gelooft dat een toonaangevende CA als Symantec, Entrust of Comodo binnen nu en twee jaar gekraakt zal worden, heeft maar 13% een geautomatiseerd proces klaarstaan om op zo’n situatie te reageren. Zonder een CA migratieplan en een geautomatiseerd proces, zullen organisaties alle certificaten die door een gecompromitteerde CA zijn uitgegeven razendsnel en met de hand moeten migreren naar een andere CA. Gezien het feit dat de gemiddelde organisatie meer dan 23.000 certificaten gebruikt en dat het gemiddeld vier uur duurt om een enkel certificaat op één systeem te vervangen, is het handmatig vervangen van alle certificaten en de bijbehorende sleutels praktisch onhaalbaar.
• Driekwart (74%) van de respondenten blijkt verrassend genoeg niet te weten dat CNNIC als CA onbetrouwbaar is en heeft geen stappen ondernomen om gebruik van deze CA tegen te houden, ook al hebben zowel Google als Mozilla inmiddels aangekondigd CNNIC niet langer te vertrouwen.
  Op de vraag wat infosec pros hebben gedaan met het nieuws dat de officiële Chinese regerings-CA CNNIC (China Internet Network Information Center) uit de gratie is gevallen bij Google en Mozilla (vanwege de uitgifte van onbetrouwbare certificaten), antwoordde slechts 26% dat CNNIC daadwerkelijk werd verwijderd van alle desktops, laptops en mobiele apparaten. Van de overige respondenten heeft 23% nog helemaal niets gedaan, wacht 17% of Apple en Microsoft ook nog iets gaan doen en heeft 34% simpelweg geen idee.
• Bijna tweederde van de infosec pros begrijpt wel degelijk wat het risico is van onbetrouwbare CAs zoals CNNIC.
  Uit de antwoorden op de vraag welke beveiligingsrisico’s ontstaan als een onbetrouwbare CA certificaten uitgeeft voor hun browser, applicatie of mobiel apparaat, blijkt dat 58% van de respondenten het risico ziet van MITM (Man-in-the-Middle) aanvallen en dat 14% zich zorgen maakt over replay attacks. Dat betekent in feite dat een groot deel van de respondenten de risico’s wel ziet, maar er geen enkele actie op onderneemt.
• 63% van de infosec professionals gelooft onterecht dat een certificaatautoriteit zelf certificaten en cryptografische sleutels beveiligt.
  Op de vraag of een CA ze beschermt tegen diefstal, misbruik of vervalsing van digitale certificaten, antwoordde slechts 37% terecht met “nee”. De rest dacht van wel (29%) of had geen idee (34%). CAs geven certificaten uit of trekken ze in – maar ze controleren niet hoe ze in de praktijk worden gebruikt en kunnen dan ook de veiligheid van de certificaten niet garanderen.
• Hoewel mobiele apparaten gewoonlijk honderden CAs vertrouwen, geloven de respondenten in dit onderzoek dat het er maar drie zijn.
  Op de vraag hoeveel CAs vertrouwd worden op mobiele apparaten, geloofden de respondenten dat het er gemiddeld maar drie zijn. Voor Apple iOS apparaten gokten de deelnemers gemiddeld zelfs op twee. In werkelijkheid zijn het er 240.

“De resultaten van dit onderzoek zijn verontrustend, kijkend naar het aantal IT Security professionals die weliswaar beseffen wat het risico is van CAs en misbruikte certificaten, maar die geen oplossing klaar hebben om dat probleem het hoofd te bieden,” zegt Kevin Bocek, Vice President Security Strategy and Threat Intelligence bij Venafi. “Van DigiNotar tot MCS Holdings en Google blijven organisaties blind vertrouwen op certificaten, zonder maatregelen te nemen of te ontwikkelen om te kunnen reageren op misbruik. Cybercriminelen weten heel goed wat de gevolgen van frauduleuze certificaten en misbruikte sleutels kunnen zijn en ze zullen er gebruik van blijven maken voor APT-achtige aanvallen, simpelweg omdat ze weten dat het werkt.”

Bocek: “Als we ons onderzoek mogen geloven en als IT security professionals werkelijk de risico’s inzien van onbetrouwbare CAs als CNNIC maar daar niets mee doen, dan is het onvermijdelijk dat we meer en meer MITM aanvallen en andere certificaat-gerelateerde inbraken gaan zien. We leven helaas in een online wereld die we niet kunnen vertrouwen, omdat er geen immuunsysteem bestaat dat alarm slaat als booswichten misbruik maken van de sleutels en certificaten die juist ontworpen zijn om ons te beschermen. In zijn algemeenheid is het tijd dat internationale organisaties en IT- en security-specialisten en -teams wakker worden en actie ondernemen om de veiligheid van hun sleutels en certificaten te garanderen. Het wordt ook tijd dat ze inzien dat CAs ze daar niet bij kunnen helpen. Er komen miljarden apparaten online en er staan nog veel meer IoT-apparaten te trappelen in de coulissen. De bescherming van de sleutels en certificaten die we gebruiken om al die apparaten veilige en vertrouwde toegang te geven, is van cruciaal belang.”

Het volledige Venafi Black Hart 2015 onderzoeksrapport is te downloaden via Venafi.com/BH2015.

Over Venafi
Venafi is het Immuun Systeem voor het Internet en beschermt het fundament voor het veilig digitaal zakendoen met behulp van cryptografische sleutels en digitale certificaten, waardoor cybercriminelen hier geen misbruik meer van kunnen maken bij cyberaanvallen. In onze huidige wereld waar iedereen met elkaar verbonden is, azen cybercriminelen op een betrouwbare status waardoor ze lange tijd niet ontdekt worden. De encryptiesleutels en digitale certificaten vormen in dit verband het primaire doelwit. De meeste digitale beveiligingssystemen hebben een blind vertrouwen in sleutels en certificaten waardoor ze kwaadwillenden in staat stellen om versleuteld internetverkeer te onderscheppen, een andere identiteit aan te nemen op websites, malware te installeren en data te stelen. Het Immuun Systeem voor het Internet inspecteert voortdurend de netwerken, kijkt achter de firewall en struint het internet af om te bepalen welke SSL/TLS, SSH, Wi-Fi, VPN en mobiele sleutels en certificaten kunnen worden vertrouwd. Het systeem accepteert de betrouwbare exemplaren en blokkeert, repareert en vervangt de valse exemplaren.

Venafi is met de Next Generation Trust Protection (NGTP) marktleider op het gebied van cybersecurity en is door Gartner uitgeroepen tot Cool Vendor. Het Venafi Trust Protection Platform beschermt encryptiesleutels en digitale certificaten en elimineert blinde vlekken in het beveiligingssysteem, zoals potentiële bedreigingen die zich richten op versleuteld internetverkeer. Venafi TrustAuthority, Venafi TrustForce en Venafi TrustNet maken allemaal onderdeel uit van een beveiligingsstrategie voor het beschermen van bedrijfsinfrastructuren. De diensten helpen ondernemingen om de eigen betrouwbare certificaten te herkennen. Hierdoor krijgen ondernemingen weer de controle over sleutels en certificaten die worden gebruikt voor mobiele telefoons en mobiele apparaten, applicaties, virtuele machines, netwerkcomponenten en voor toegang tot de cloud. Venafi voorkomt met behulp van SSL-inspectie uitval van websites als gevolg van ongeldige of ingetrokken digitale certificaten. De beveiligingsdiensten zijn een intelligent antwoord op cyberaanvallen en beschermen netwerken, ondernemingen en merken. Het Venafi Threat Center doet primair onderzoek naar bedreigingen die zich richten op sleutels en certificaten.

Venafi’s klanten behoren tot de Global 5000 ondernemingen die security hoog in het vaandel hebben staan. De ondernemingen zijn werkzaam in de financiële dienstverlening, detailhandel, het verzekeringswezen, gezondheidszorg, telecommunicatie, ruimtevaart, productie en in de hightechsector. Venafi beschermt op dit moment al vier van de vijf grootste belangrijkste Amerikaanse banken, acht van de grootste zorgverzekeraars en vier van de zeven grootste Amerikaanse retailers. Venafi wordt gefinancierd door de top van de venture capitalist firma’s, waaronder Foundation Capital, Intel Capital, Origin Partners, Pelion Venture Partners, QuestMark Partners en Silver Lake Waterman. Voor meer informatie: www.venafi.com.