We kennen allemaal ssl; het cruciale stukje encryptie dat onze online communicatie beschermt. Het beveiligt de communicatie tussen de webbrowser die we gebruiken en de servers waar websites worden gehost. Een beveiligde site is te herkennen aan het hangslotje en/of het gebruik van https in de url-balk.
Normaal gesproken is ssl goed om te hebben. Elke uitwisseling van financiële gegevens zoals internetbankieren of online winkelen maakt gebruik van ssl om de informatie af te schermen. Recent zien we echter de trend om al het internetverkeer van ssl te voorzien, en niet alleen het verkeer dat gebruikersnamen, wachtwoorden of financiële gegevens bevat. Grote nieuwsitems als de onthullingen van Edward Snowden zetten veel gebruikers aan om strengere beveiliging te vragen en leveranciers bieden dit maar al te graag aan.
Hierdoor groeit het gebruik: ‘s werelds grootste websites als Google, Amazon en Facebook hebben nu allemaal https – dus met ssl-bescherming – aangezet voor al het verkeer. Meer dan de helft van het internetverkeer is inmiddels versleuteld; niet in de minste plaats dankzij Netflix die ook is overgestapt op https.
Versleuteld verkeer
Hoewel encryptie het internetverkeer zeker veiliger maakt, brengt deze trend ook grotere risico’s voor bedrijven. Dit komt doordat veel zakelijke beveiligingsapparatuur niet overweg kan met versleuteld verkeer; ze zien niet wat er in zit en dat kan dus heel goed malware zijn zonder dat de security-toepassing het doorheeft.
Firewall, web gateways, ipos (intrusion prevention systems) en andere toepassingen kunnen moeite hebben om malware te herkennen in versleuteld verkeer. Het kan rampzalig zijn als malware, verpakt als veilig versleuteld verkeer, de organisatie binnenkomt. Bovendien werkt dit twee kanten op: het komt onopgemerkt binnen, maar het kan dus ook berichten onopgemerkt terugsturen naar de verzender. Weinig security-tools die dit door zullen hebben.
De Dyre banking malware is een treffend voorbeeld. Volgens de rapportages was deze malware in staat informatie te ontvreemden voordat de encryptie werd toegepast en het terug te sturen naar een c&c-server (command and control) als netjes versleuteld verkeer. Dankzij het hangslotje lijkt het allemaal veilig, maar gevoelige data verdwijnt waar je bij staat.
Sterker nog, elke willekeurige site kan ‘drive-by’-malware versturen en als de sessie versleuteld is, kunnen security-tools niet detecteren wat de exacte inhoud is van het verkeer, of waar het naartoe gaat. Proxy-servers en url-gateways zijn er volledig blind voor.
Ontsleutelen
Het is een serieus probleem. Onderzoekers van Gartner gaven aan dat minder dan 20 procent van de bedrijven die firewalls, ips of Uutminzetten in staat is ssl-verkeer te ontsleutelen, waardoor malware in dit verkeer ongezien kan passeren. Gartner claimt bovendien dat in 2017 bij meer dan de helft van alle netwerkaanvallen deze tactiek zal worden toegepast.
Hoe is dit te voorkomen? Het simpele antwoord is al het verkeer ontsleutelen, maar dan komt de privacy in het geding en is gevoelige informatie wel heel makkelijk te stelen. Dus moeten we bepalen welk verkeer wel en niet versleuteld moet zijn. Als bedrijven content naar externe gebruikers versturen, moet men ssl-verkeer offloaden van de server om beveiliging in die verkeersstroom toe te voegen. Dit onderbreekt weliswaar de ssl, maar op een slimme manier. Je wilt een betaling niet ontsleutelen, maar een Facebook-bericht wel.
Security moet slimmer worden en inzien waar verkeer naartoe gaat. Op basis daarvan kan een besluit worden genomen of het wel of niet ontsleuteld moet worden. Je breekt ssl, maar op een veilige, slimme manier.
Ronald Vanhijfte, regional manager bij F5 Networks Belux