Amerikaanse overheid waarschuwt voor MitM-aanvallen
Internetgebruikers moeten hun communicatie en verkeer op internet beveiligen, anders kunnen ze het doelwit van Man-in-the-Middle-aanvallen worden, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). Het US-CERT wijst naar een recente DDoS-aanval waarbij de browsers van internetgebruikers werden gebruikt om grote hoeveelheden data naar een website te sturen.
Het US-CERT laat niet weten om welk specifiek incident het gaat, maar het betreft bijna zeker de DDoS-aanval op GitHub. Daarbij wisten aanvallers het verkeer naar de Chinese zoekmachine Baidu te manipuleren zodat de website van GitHub werd aangevallen. Volgens US-CERT had de code die de browsers GitHub liet aanvallen ook kunnen worden gebruikt om een exploit voor een bepaald beveiligingslek uit te voeren of de browser andere acties uit te laten voeren.
Over het algemeen bieden encryptie en digitale certificaten een effectieve beveiliging tegen MitM-aanvallen, merkt de Amerikaanse overheidsdienst op. Bij recente MitM-aanvallen maakten aanvallers echter gebruik van zwakheden in de cryptografische infrastructuur, waarbij US-CERT vooral naar certificaatautoriteiten en certificaatstores in browsers wijst, maar ook encryptiealgoritmes en de cryptografische protocollen zelf noemt.
Internetgebruikers die zich tegen MitM-aanvallen willen beschermen kunnen verschillende maatregelen nemen. Zo wordt geadviseerd om naar TLS 1.1 of nieuwer te upgraden en TLS 1.0 en SSL 1, 2 en 3 uit te schakelen. Ook wordt het gebruik van certificaatpinning aangeraden. Iets wat via de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) kan.
Websites
Voor eigenaren van websites wijst US-CERT naar het toepassen van DNS-gebaseerde Authentication of Named Entities (DANE). Hierbij kunnen websites het SSL-certificaat via DNS aanbieden. De browser controleert het certificaat dat via HTTPS is ontvangen met het via DNS ontvangen certificaat. Komen die niet overeen, dan is er iets aan de hand. Als laatste wordt het gebruik van "Network Notary Servers" aangeraden. Daarmee kunnen browsers de authenticiteit van een website controleren zonder dat hier een certificaatautoriteit aan te pas komt.
En het mooie hiervan is dat een browser die DANE/TLSA ondersteunt ook gewoon self-signed certificaten accepteert als geverifieerd. Je hebt dan helemaal geeen (onbetrouwbare) CA's meer nodig.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.