image

Ex-securitychef: SSL en RSA niet meer te vertrouwen

donderdag 22 september 2011, 12:24 door Redactie, 4 reacties

Volgens de voormalige cybersecurity-adviseur van het Witte Huis zijn SSL-certificaten en RSA twee-factor authenticatie niet meer te vertrouwen. Richard Clarke werkte 19 jaar voor het Pentagon, was "cybersecurity chief" en betrokken bij verschillende inlichtingendiensten. Recente aanvallen op beveiligingsbedrijf RSA en SSL-aanbieder DigiNotar zijn volgens hem een keerpunt.

"Je kunt digitale certificaten niet vertrouwen. Het is een keerpunt, niet alleen voor digitale certificaten." Hij verwijst naar de aanval op RSA, waar de aanvallers het op de twee-factor authenticatieoplossing van het bedrijf hadden voorzien. Met de gestolen gegevens werden vervolgens andere grote bedrijven, waaronder Lockheed, gehackt.

"RSA zegt dat je twee-factor authenticatie kunt blijven vertrouwen, maar hoeveel? Ga je echt op ze vertrouwen? Ik zou niet blij zijn als ik op RSA twee-factor authenticatie of een SSL-certificaatoplossing zou moeten vertrouwen."

Stuxnet
Clarke zou graag zien dat internetproviders proactief de inhoud van kwaadaardig verkeer gaan filteren. Aan de hand van signatures kan men zien of het om een mogelijke aanval gaat en dat verkeer vervolgens blokkeren. Ook gaat de voormalige securitychef in dit interview in op de vraag wie erachter de Stuxnet-worm zit.

Zelf denkt hij dat het de Amerikaanse overheid is. Die zou daarnaast ook betrokken zijn bij het uitvoeren van cyberspionage tegen andere landen, net zoals de Chinese overheid volgens Clarke het Amerikaanse ministerie van Defensie via het internet bespioneert.

Reacties (4)
22-09-2011, 12:44 door Martijn Brinkers
Jeetje zeg weer zo'n "clueless" reactie.

Quote: "My takeaway is you can't trust digital certificates"

Wat een onzin. Je kan misschien niet een willekeurige CA vertrouwen maar als je zelf een CA in beheer hebt is het veilig zolang je je eigen CA goed beveiligd.

Hoewel hij het alleen heeft over RSA "two factor authentication" lijkt het erop dat hij "two factor authentication" sowieso niet meer vertrouwd. Dus omdat een leverancier (RSA) een bepaalde "two factor authentication" oplossing heeft die niet te vertrouwen is, zijn ineens alle "two factor authentication" oplossingen niet te vertrouwen? Volgens mij is HOTP met random gegenereerde keys nog steeds veilig.
22-09-2011, 15:24 door spatieman
alsof alles van de US te vertrouwen is.
22-09-2011, 17:53 door Anoniem
Sluit goed aan bij het stuk van Errata Security van gisteren:

http://erratasec.blogspot.com/2011/09/thinking-on-margin-economics.html
22-09-2011, 20:55 door Anoniem
de 3e wereld oorlog word niet zo'n eentje als de 1e en de 2e,

maar ik denk dat het een een CYBER OORLOG (op het net)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.