Nieuws
image

Malware verstopt zich op ongebruikte SSL-site

maandag 3 augustus 2009, 15:55 door Redactie, 3 reacties

Malware op websites met een SSL-certificaat is niet alleen lastig voor onderzoekers om te vinden, het vormt ook een bedreiging voor het bedrijfsnetwerk, aangezien IDS en firewalls het versleutelde verkeer niet kunnen analyseren. Onderzoekers van StopBadware ontdekten een website waar Google van zei dat die besmet was. Een analyse leverde echter niets op, totdat men naar https werd gewezen. Daarop stond een standaard pagina waar een verborgen iframe in was aangebracht, die naar een Chinese server met malware linkte.

"Intrusion detection systemen, netwerk firewalls en andere apparaten die het netwerkverkeer inspecteren, zullen de kwaadaardige lading waarschijnlijk missen, omdat het binnen een SSL stream is versleuteld", zegt Maxim Weinstein van StopBadware. Hij waarschuwt dat standaard pagina's een beveiligingsrisico vormen. "Deze standaard sites worden niet uitgeschakeld en zijn niet adequaat beveiligd, waardoor ze een ideaal doelwit voor een aanval zijn." De gehackte pagina kan vervolgens als locatie van spamberichten of redirects dienen. "Als je een webserver installeert, zoek dan welke sites standaard zijn ingeschakeld, en schakel die uit of monitor ze."

Reacties (3)
03-08-2009, 16:02 door SirDice
Daarom stop je SSL bij voorkeur op een reverse proxy (met SSL accelerator) waarna het als 'gewoon' http naar de webserver gaat. Op de reverse proxy kun je al een eerste filtering toepassen. Tevens heb je dan met een IDS/IPS de mogelijkheid om de rest van het verkeer te monitoren.
03-08-2009, 16:24 door KoekeBakker
Bedankt voor de toelichting kalekop! (positief)

Als iedereen nou eens naar elkaar luisterd, dan komt er misschien nog wat goeds uit. Toch grote bedrijven?
03-08-2009, 19:39 door Anoniem
Dit is een goede case voor bewijsbaar veilige informatie systemen. Als de domeinen voor informatie bewerking + opslag volledig gescheiden zijn van het domein voor informatie communicatie dan is dit een stuk veiliger. De presentatie van een operationeel systeem waarin deze domeinen ook electronisch volledig gescheiden zijn en waarin de communicatie bewijsbaar veilig plaatsvindt is te vinden op de link http://www.wuala.com/freemovequantumexchange. Dit systeem maakt bijvoorbeeld geen gebruik van SSL maar van zelf aangemaakt certificaten met true (quantum) random generatoren. Ook wordt informatie-theoretische veiligheid ondersteund. Hierdoor zijn de onveilige en veilige domeinen volledig van elkaar gescheiden en zijn dit soort problemen onmogelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search