Home » Technology » Security » Encryptie maakt het internet niet veiliger

Encryptie maakt het internet niet veiliger

Tech Page One

Encryptie maakt het internet niet veiliger

 

Het ‘Snowden effect’ is één van redenen dat het gebruik van HTTPS het afgelopen jaar is verdubbeld. Steeds meer organisaties gebruiken inmiddels HTTPS. Na Google, Facebook en Twitter volgen ook Wikipedia en Reddit met nieuw ontwikkelde OS X-applicaties en sinds kort wordt dat gedaan door ’s werelds grootste krant de Washington Post.

Niet alleen organisaties in de commerciële sector stappen massaal over op HTTPS, ook de overheid gaat, wel of niet gedwongen, steeds vaker over op het gebruik van HTTPS. In een recent uitgegeven memorandum van de Amerikaanse overheid wordt vereist dat ze voor 2016 HTTPS moeten gaan implementeren voor hun websites en web services.

Toename gebruik HTTPS

HTTPS maakt gebruik van SSL/TLS-encryptie om de communicatie tussen websites en gebruikers te beveiligen. Dit biedt bescherming tegen afluisteren en ‘man-in-the-middle’ attacks, maar HTTPS kent helaas ook enkele beperkingen. Zo worden IP-adressen en domeinnamen van bestemmingen niet versleuteld tijdens de communicatie. HTTPS garandeert alleen de integriteit tussen twee systemen, maar niet de systemen zelf. Ook biedt het geen bescherming tegen een webserver die gehackt is of gecompromitteerd, noch kan de web service voorkomen dat gebruikersinformatie wordt gehackt.

Certificate pinning

Encryptie maakt het internet niet veiligerOm het versleutelde SSL-verkeer te kunnen ontcijferen en de inhoud van de data te kunnen lezen, moeten firewalls daarvoor geschikt zijn. De meeste grote organisaties hebben inmiddels Next Generation Firewalls in gebruik genomen, maar die zijn functioneel soms te beperkt, gezien de vereiste rekenkracht om SSL-decryptie toe te passen. Standaard maakt een SSL-verbinding gebruik van het beveiligingscertificaat van een server. SSL controleert echter niet of het certificaat in kwestie ook daadwerkelijk door de server wordt gebruikt. Dit vertrouwen tussen de computer en de remote server kan een beveiligingsriscico met zich meebrengen. Certificate pinning biedt een oplossing voor dit probleem. Met deze techniek wordt de SSL-verbinding eerst ontsleuteld en voorzien van een eigen certificaat, en vervolgens weer versleuteld. Banken maken gebruik van SSL pinning voor een controleslag in de beveiliging naar de computer. Het dataverkeer van en naar banken kan dan ook niet geïnspecteerd worden door firewalls met SSL-decryptie, omdat ze van deze SSL pinning-techniek gebruik maken en zodoende de encryptie breken.

Let’s encrypt

Vertrouwt men op een uitgegeven certificaat van derden of is het mogelijk om zelf certificaten uit te geven? Een nieuwe ontwikkeling die hier op aansluit is het Let’s Encrypt-initiatief van de Linux Foundation, dat in september gelanceerd werd. Dit maakt het voor elke gebruiker mogelijk om een http-server in te stellen die automatisch een browser-trusted certificaat genereert. Om dit mogelijk te maken draait er een certificate management agent op de webserver. Let’s Encrypt is een gratis, geautomatiseerde en open certificaat-autoriteit.

Aanpassing IT-architectuur

Wat veel bedrijven zich moeten afvragen is of hun IT-infrastructuur wel goed is voorbereid op de toename van HTTPS-verkeer. Waarschijnlijk is dit niet het geval, want de meeste organisaties hebben in de afgelopen jaren gekozen voor bescherming van hun netwerkinfrastructuur met technologie die enkel in staat is om informatie in platte tekst, waaronder HTTP- en FTP-verkeer, te inspecteren. Het is daarom noodzakelijk dat men de komende tijd versneld de transitie maakt naar geavanceerde en krachtigere Next Generation Firewalls, die in staat zijn om een hoog aantal DPI-SSL- connecties te ondersteunen. Dit soort apparatuur is namelijk wel geschikt om het HTTPS-verkeer te ontsleutelen en de data te controleren op malware en andere risciofactoren.

Er is nog een lange weg te gaan om encryptie standaard onderdeel te maken van het internetverkeer. De vraag is echter of dit de veiligheid op het internet in het algemeen zal vergroten. Ik denk dat dit zeer waarschijnlijk het geval is. Ongetwijfeld zullen hackers manieren weten te vinden om deze verbeterde beveiliging te omzeilen. Recent toonden onderzoekers van de KU Leuven nog aan dat RC4- encryptie (gebruikt in onder andere SSL/TLS) steeds makkelijker en sneller te kraken valt.

 

 

Jort Kollerie

Jort Kollerie

Jort Kollerie is sinds 2000 werkzaam bij Dell en heeft diverse sales-functies gehad binnen het segment van local & central government. In 2009 heeft hij zich gespecialiseerd binnen het Public Security & Defence team op onder andere Digital Forensics en biometric/rugged solutions. Vanaf 2012 is Jort als Enterprise Security Specialist verantwoordelijk voor het security portfolio binnen Dell Benelux. Met als uitgangspunt het optimaliseren, vereenvoudigen en verhogen van security, adviseert hij relaties op het gebied van Network Security, Identity & Access Management en Data Protection & Encryption.

Laatste Artikels:

 

Tags: Security, Technology