SSL-aanbieder Networking4ALL waarschuwde laatst voor het ontbreken van SSL-certificaten bij webwinkels, maar is deze waarschuwing wel terecht en kun je de veiligheid van een website alleen aan SSL beoordelen? Security.nl vroeg het technisch directeur Paul van Brouwershaven.

Is het niet een beetje verdacht als een SSL-aanbieder waarschuwt voor het belang van SSL?
Van Brouwershaven: Natuurlijk zou men dit als verdacht op kunnen merken, maar in het algemeen zie je dat veel onderzoeken afkomstig zijn van een bedrijf welke actief is in de sector waar het onderzoek zich op richt. Bij deze bedrijven zitten immers ook de meeste specialisten en is er ook nog vaak een budget beschikbaar om de onderzoeken degelijk uit te kunnen voeren. Neem bijvoorbeeld Philips, deze doet onderzoek naar effect van licht op de concentratie van schoolkinderen.

Dat Philips 'licht' verkoopt en hierdoor waarschijnlijk meer of duurdere lampen in het onderwijs kan slijten is daarvan een logisch gevolg. Maar dat het door Philips is onderzocht doet verder niets af aan het resultaat van het onderzoek. Het zou kunnen worden opgevat als sluikreclame, maar als deze bedrijven hier niet onderzoek naar doen, wie doet het dan? De consument beslist vervolgens zelf wat het met het nieuws doet.

Het lijkt erop alsof jullie stellen dat SSL bepaalt of een webwinkel veilig is of niet, is dat niet een beetje kort door de bocht?
Van Brouwershaven: Ja, je zou kunnen zeggen dat dit een beetje kort door de bocht is. Toch is het zeker niet ongefundeerd. Een webwinkel of site welke geen gebruik maakt van een beveiligde verbinding kan worden afgeluisterd. Er is dus een lek van informatie waardoor je kan stellen dat de website niet veilig is.
Het enkel hebben van een met SSL beveiligde verbinding wil echter nog niet zeggen dat de website honderd procent veilig is. De techniek beschermd niet tegen bijvoorbeeld SQL-injecties, cross-site scripting of malware.

Voor een eindgebruiker is een SSL Certificaat op dit moment het meest bruikbare middel om te controleren hoe een site omgaat met gegevens welke van of naar de site verzonden worden. Een EV SSL certificaat voegt hier zelf de bescherming tegen phishing aan toe, maar zeker voor kleine of startende ondernemers kunnen de kosten voor een EV certificaat nog altijd te hoog zijn.

Voor zover bekend zijn er nooit gegevens van webwinkels gestolen omdat een aanvaller op een hop onversleuteld verkeer afluisterde. Daarbij zijn dit soort aanvallen toch vrij onpraktisch in vergelijking met bijvoorbeeld een SQL-injectie aanval, waar je zeker weet dat je er met de hele database vandoor gaat. In hoeverre achten jullie dit soort aanvallen echt een gevaar?
Van Brouwershaven: Het 'voordeel' van het afluisteren van een verbinding is dat het langdurig kan plaatsvinden zonder dat dit zal worden opgemerkt of in veel gevallen dat er sporen worden achtergelaten op de pc of webserver. Door het langdurig afluisteren van informatie kan eenvoudig een database worden gecreëerd met zeer waardevolle informatie. Ik denk dat er in het ip protocol voldoende informatie aanwezig is om te bepalen van en waar de informatie heen gaat, daarnaast maken veel websites gebruik van sessies welke simpelweg onderschept kunnen worden. Daarna hoeft enkel nog zoveel mogelijk informatie uit de sessie te worden opgeslagen om vervolgens te kijken of er eerdere sessies zijn geweest met overeenkomende informatie en zo de data samen te voegen.

Een ander belangrijk punt is dat er geen enkele controle is hoe en over wat voor media de informatie verzonden wordt. Zo heeft de eigenaar van een site geen controle over de verbinding van de gebruiker, deze kan bijvoorbeeld een onbeveiligd of openbaar WLAN gebruiken waar de informatie zonder ook maar enige moeite kan worden afgeluisterd. Ook is er geen garantie dat het personeel van een ISP voor zichzelf of derden verkeer doet afluisteren. Daar een gemiddelde sessie eerst langs verschillende hops komt zijn er indirect veel mensen die gemakkelijk toegang tot deze verbinding kunnen krijgen. Door het gebruik van SSL worden al deze risico's tot een minimum beperkt.

Het afluisteren op een internet exchange kan in één keer een gigantische hoeveelheid aan data opleveren. Echter moeten we er rekening mee houden dat deze netwerken veel beter zijn beveiligd dan het gemiddelde netwerk en je dus wel een zeer goede hacker moet zijn. Zo hebben bijvoorbeeld de AMS-ix en de NL-ix beide een limit van één mac adres per poort wat arp spoofing of redirecting al veel moeilijker, maar niet onmogelijk, maakt. Zo waarschuwt bijvoorbeeld de internet exchange van Pittsburgh (pitx.net) hun leden om niet te gaan sniffen.

Maar we hoeven niet enkel te denken aan het device zelf, ook via de bekabeling kan de datastroom worden afgeluisterd. Zo besprak onderzoeksbureau IDC enige tijd geleden verschillende technieken waarmee glasvezelnetwerken zijn af te luisteren, zoals het doorknippen of buigen van de kabel om vervolgens het licht af te tappen. Maar ook de nieuwste methode door plaatsen van sensoren of foto-detectoren op de buitenkant van de kabel om het licht op te vangen. Als de sensoren goed zijn ingesteld kan alle data onderschept worden. Ook de nieuwere technieken bij glasvezelnetwerken zoals wavelength division multiplexing (WDM) zijn hiervoor kwetsbaar.

Ook kan er worden gekozen om zelf een 'knooppunt' te creëren door bijvoorbeeld het opzetten van een tor server of het publiceren en re-routen van netwerkverkeer op basis van BGP.

Denk je niet dat door dit soort berichten consumenten straks de veiligheid van een webwinkel beoordelen of er een SSL certificaat aanwezig is of niet?
Van Brouwershaven: Enkel het aantal webwinkels dat op dit moment geen beveiligde verbinding aanbiedt (maar wel klanten lijkt te hebben) geeft al heel duidelijk aan dat er op dit moment nog veel te veel consumenten niet goed opletten op het moment dat zij aan het online winkelen zijn. Doordat consumenten beter opletten en een website zullen beoordelen op het beschikbaar zijn van een SSL Certificaat zullen eigenaren van deze winkels zich beter bewust worden dat ook deze winkels moet worden beveiligd tegen diefstal.

Voor de aanbieders van certificaten ligt hier dan ook de taak om gebruik te maken van de bestaande relatie om zo de website eigenaar te wijzen op andere beveiligingsproblemen. Zo zien we bijvoorbeeld nu al dat VeriSign websites met een SSL certificaat van deze CA zal gaan scannen op malware en andere beveiligingsproblemen.

Daarnaast is het voor een consument zeer moeilijk om te bepalen of een website echt veilig is, SSL geeft in ieder geval aan dat de eigenaar van website aandacht besteedt aan de beveiliging van de website, dat gegevens veilig worden verzonden en bij EV wie de eigenaar van de site is. Een webwinkel welke gegevens niet over een met SSL beveiligde verbinding stuurt is niet veilig, maar het wil niet zeggen dat het geen andere beveiligingsproblemen heeft. Voor een consument is het echter de beste eerste stap om te bepalen of er wel of geen aandacht is besteed aan de beveiliging.

Zelfs de aanwezigheid van een "slotje" zegt niet alles, denk bijvoorbeeld aan zwakke certificaten of het feit dat Root CA's vervalste certificaten uitgeven.
Van Brouwershaven: Nee, er zijn helaas CA's welke het niet zo nauw nemen, en het commerciële aspect soms hoger hebben liggen dan de veiligheid. Zo vechten wij al jaren tegen Comodo waar partners via een checkbox konden aangeven dat gecontroleerd was wie de eigenaar van een site was. Dat dit verder niet gecontroleerd werd blijkt bijvoorbeeld uit dat één van hun voormalige partners bijvoorbeeld een certificaat heeft uitgegeven voor onder andere www.digid.nl, zonder dat de overheid hier toestemming voor gegeven had.

In hoeverre is het nodig dat commerciële bedrijven hier in media alarm over slaan. Hoort dit geen taak van de overheid te zijn of het College bescherming persoonsgegevens (CBP). In de Wet Bescherming Persoonsgegevens (Wbp) staat tenslotte ook dat het beschermen van klantgegevens verplicht is.
Van Brouwershaven: Als het CBP hier strenger op gaat handhaven kost dit meer geld en dit geld is helaas niet beschikbaar. Daarnaast zijn we al enige tijd in gesprek met justitie om te kijken of hier beter tegen kan worden opgetreden en hoe de website-eigenaren beter geïnformeerd kunnen worden over de mogelijke gevaren en oplossingen. Daarnaast proberen we te kijken hoe er mogelijk een beter inzicht kan komen op basis van de verschillende risico's (zoals burger service nummers, wachtwoorden, etc).

Moeten volgens jou naast SSL ook nog andere zaken onder de Wbp verplicht worden?
Van Brouwershaven: De wet zegt: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…”

De wet is zeer ruim in zijn bewoording, het CPB stelt in haar richtsnoeren (punt 4) dat dit moet gebeuren door gebruik te maken van een SSL Certificaat. Maar het controleren en beschermen van een site tegen SQL-injecties of bijvoorbeeld cross-site scripting valt hier naar mijn mening ook onder (maar dit hebben we nog niet laten beoordelen en ik ben zelf geen jurist).

Networking4all kreeg van sommige security professionals kritiek na het persbericht, denk je dat dit komt omdat deze groep vanuit een ander standpunt naar beveiliging kijkt en misschien niet zien waar doorsnee consumenten tegen aanlopen?
Van Brouwershaven: Ja, security is altijd een onderwerp van discussie omdat het ook altijd een doorlopend proces is waar elke security professional met een eigen expertise naar kijkt. Er zijn honderden, zo niet duizenden 'security threats' te bedenken en er zijn altijd weer discussies over welke een groter risico is dan de ander. Met onze publicatie richten wij ons niet direct op de security professionals welke allemaal perfect weten waar ze op moeten letten. Door ons te richten op het grote publiek, welke niets of weinig van security weet, proberen wij een bewustwording in de samenleving te creëren.

Waar bestaat een goed beveiligde webwinkel volgens jullie uit en hoe is die voor de doorsnee consument te herkennen?
Van Brouwershaven: Het herkennen van een goed beveiligde winkel blijft lastig. Honderd procent veiligheid is nooit te garanderen maar voor de consument begint het herkennen van een goed beveiligde winkel bij https://, het slotje en het liefste een groene adresbalk aangezien dit ook beschermt tegen phishing.
Iets wat helaas niet goed door een consument kan worden herkend is het hebben van een PCI DDS certificering. Een certificering welke op veel belangrijke veiligheidsaspecten controleert en bijvoorbeeld een vereiste is voor het direct accepteren van creditcards (zonder payment gateway).

Wellicht dat hier een taak voor de browsers ligt. Deze zouden op basis van een PCI DDS certificering of 'live' controle kunnen controleren op veel voorkomende problemen en dit in levels kunnen weergeven aan de eindgebruiker.

Sinds enige tijd is er SSL EV. Duidelijk herkenbaar voor consumenten, maar voor kleine webwinkels onbetaalbaar. Denk je niet dat dit voor een tweedeling zal zorgen, waarbij consumenten mogelijk alleen naar EV certificaten gaan kijken?
Van Brouwershaven: Een EV SSL Certificaat is een certificaat met veel meer waarde dan een normaal SSL Certificaat en kan een webwinkelier zeker onderscheiden in de markt. De prijs van een EV SSL Certificaat is de afgelopen jaren al flink gedaald en gaat mogelijk de komende jaren nog verder dalen. Toch denk ik dat het ook nu zeker voor een kleine webwinkelier interessant is om te investeren in een certificaat met een uitgebreide validatie omdat het duidelijk aangeeft met wie je zaken doet. Dit maakt de kans op fraude en phishing een stuk kleiner en dus minder risico voor de consument.

Een aantal critici op Security.nl vond dat het probleem van het inloggen over SSL bij webwinkels overschat wordt, aangezien het grootste gedeelte van de bevolking nog steeds onversleuteld inlogt op de mailbox. Appels met peren vergelijken of zou een waarschuwing ook hier op zijn plaats zijn?
Van Brouwershaven: Een waarschuwing is ook zeker hier op zijn plaats. Wij zijn daarom druk doende om onze tools uit te breiden om zo een beter inzicht te krijgen in de beveiliging van verschillende protocollen, zoals bijvoorbeeld e-mail en ftp verkeer. Kijken we naar de wet, dan zou er geen gebruik gemaakt mogen worden van protocollen waar de informatie wordt verstuurd over een onbeveiligde verbinding, waar dit ook eenvoudig via een beveiligde verbinding mogelijk zou zijn.

Wat zou jij doen als je iets graag wilt hebben, maar de enige winkel die het aanbiedt gebruikt geen SSL?
Van Brouwershaven: In dat geval zou ik contact opnemen met de eigenaar van de webwinkel om te vragen of ze op de hoogte zijn van deze problemen en de wettelijke verplichtingen. Soms kan dit best lastig zijn, aangezien er nog altijd heel veel winkels geen beveiligde verbinding aanbieden. En anders maar naar de winkel in de straat!