image

NCSC adviseert organisaties over onderscheppen tls-verkeer

woensdag 11 oktober 2017, 11:55 door Redactie, 16 reacties

Nu steeds meer internetverkeer via versleutelde tls-verbindingen plaatsvindt maakt dit het lastiger voor organisaties om het verkeer op hun netwerk te inspecteren. Een mogelijke oplossing is het toepassen van tls-interceptie, maar dit vergt vanwege bijkomende risico’s een gedegen afweging en dient aan een aantal belangrijke randvoorwaarden te voldoen, zo meldt het Nationaal Cyber Security Center (NCSC) in een nieuwe factsheet.

Via tls-interceptie is het mogelijk om de inhoud van versleuteld verkeer te inspecteren. "Organisaties passen tls-interceptie meestal toe om binnen versleutelde verbindingen kwaadaardige elementen, zoals virussen en malware, en het weglekken van gegevens te detecteren en te blokkeren", aldus het NCSC. Om het versleutelde verkeer te kunnen onderscheppen zijn er verschillende opties, zoals het installeren van een proxy die als een 'man-in-the-middle' fungeert. Door vervolgens op de werkcomputers een eigen rootcertificaat te installeren kunnen de tls-verbindingen worden onderschept zonder dat dit voor een waarschuwing in de e-mailclient of browser zorgt.

Het gebruik van een tls-proxy kan verschillende risico's met zich meebrengen. Zo kunnen applicaties niet langer een verbinding met hun server maken, omdat zij alleen het specifieke certificaat van die server vertrouwen en niet een alternatief certificaat van de tls-proxy. Tevens zorgt tls-interceptie ervoor dat clients niet langer kunnen zien dat een bepaalde website een Extended Validation-certificaat gebruikt.

Daarnaast is er nog het risico dat de tls-proxy wordt gehackt. Volgens het NCSC zijn dergelijke oplossingen een aantrekkelijk doelwit voor aanvallers. Een aanvaller die toegang tot de tls-proxy weet te krijgen heeft zo ook toegang tot al het verkeer dat de proxy verwerkt. Dit verkeer kan de aanvaller inspecteren en manipuleren. Organisaties die een tls-proxy willen inzetten moeten dan ook met verschillende zaken rekening houden, zoals privacyrisico's en technische vereisten.

In de factsheet (pdf) geeft het NCSC een aantal technische basisvereisten en best practices waar de tls-proxy wat betreft het opzetten van veilige verbindingen aan kan worden getoetst. Afsluitend laat de overheidsorganisatie weten dat tls-interceptie niet afzonderlijk dient te worden ingevoerd, maar als integraal en afgewogen onderdeel van een bredere set van maatregelen voor het implementeren van het informatiebeveiligingsbeleid.

Reacties (16)
11-10-2017, 12:16 door Anoniem
In Edge en Chrome kan je toch al nauwelijks je beveiligde verbinding controleren. En daarmee bedoel ik de details van een EV certificaat (dit kan wel in Edge) en de certificate chain. Bij Chrome krijg je alleen een dom groen icoontje als google vindt dat je op de goede site zit. Ik mis dit wel als ik bijvoorbeeld op ChromeOS zit.

N.B. Chrome gebruik ik zelf niet, dus misschien zit deze optie ergens verborgen waar ik nog niet heb gekeken.
11-10-2017, 12:34 door Anoniem
Alle info credits voor de onderstaande oplossing gaan naar Vixen

Zoekt op deze website en gij zult zeker de oplossing vinden, zoals de volgende.

1. Ga naar de betreffende website
2. Druk de F12 toets in
3. In het zojuist geopende venster, ga naar het tabje "Security"
4. Klik op de knop View Certificate

Bedankt

En dan krijg je dit bijvoorbeeld'

Security overview
This page is secure (valid HTTPS).
Valid certificate
The connection to this site is using a valid, trusted server certificate issued by thawte SSL CA - G2.
View certificate Daar verder het certificaat bekijken
Secure connection
The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_128_GCM (a strong cipher).


Met dank aan Vixen en de groetjes van luntrus
11-10-2017, 12:50 door RobbieVanGeenen - Bijgewerkt: 11-10-2017, 12:53
Door Anoniem: In Edge en Chrome kan je toch al nauwelijks je beveiligde verbinding controleren. En daarmee bedoel ik de details van een EV certificaat (dit kan wel in Edge) en de certificate chain. Bij Chrome krijg je alleen een dom groen icoontje als google vindt dat je op de goede site zit. Ik mis dit wel als ik bijvoorbeeld op ChromeOS zit.

N.B. Chrome gebruik ik zelf niet, dus misschien zit deze optie ergens verborgen waar ik nog niet heb gekeken.

Het kan ook in Chrome, maar je moet er enige moeite voor doen. Dat vind ik persoonlijk vanuit het oogpunt van cyber security awareness voor 'het grote publiek' ongelukkig. Je moet er voor naar de developer tools en dan de optie security kiezen.
11-10-2017, 13:15 door Anoniem
Door RobbieVanGeenen:
Door Anoniem: In Edge en Chrome kan je toch al nauwelijks je beveiligde verbinding controleren. En daarmee bedoel ik de details van een EV certificaat (dit kan wel in Edge) en de certificate chain. Bij Chrome krijg je alleen een dom groen icoontje als google vindt dat je op de goede site zit. Ik mis dit wel als ik bijvoorbeeld op ChromeOS zit.

N.B. Chrome gebruik ik zelf niet, dus misschien zit deze optie ergens verborgen waar ik nog niet heb gekeken.

Het kan ook in Chrome, maar je moet er enige moeite voor doen. Dat vind ik persoonlijk vanuit het oogpunt van cyber security awareness voor 'het grote publiek' ongelukkig. Je moet er voor naar de developer tools en dan de optie security kiezen.

De combinatie "het grote publiek" en "zelf certificaat details controleren" is m.i. toch al helemaal kansloos.

Als security community (en security persoon) zit je gewoon op het verkeerde spoor wanneer je doel bereikt moet worden door "het grote publiek alle moeilijke details uit mijn vakgebied" te leren.

Het is misschien inherent aan mensen die gedreven zijn door hun eigen interesse om te denken dat iedereen daar net zo ver in wil gaan, maar zo werkt het niet.
Niet met olympische trainingsschema's voor mensen die 'een beetje fit willen blijven' , niet voor leraren Frans die 'gewoon verzameld werk Voltaire en Sartre' willen lezen, en niet om tante Truus te leren de X509 chain naar de goede root en alleen met het juiste hash algorithme te controleren.
11-10-2017, 13:25 door Anoniem
Door Anoniem:
Door RobbieVanGeenen:
Door Anoniem: In Edge en Chrome kan je toch al nauwelijks je beveiligde verbinding controleren. En daarmee bedoel ik de details van een EV certificaat (dit kan wel in Edge) en de certificate chain. Bij Chrome krijg je alleen een dom groen icoontje als google vindt dat je op de goede site zit. Ik mis dit wel als ik bijvoorbeeld op ChromeOS zit.

N.B. Chrome gebruik ik zelf niet, dus misschien zit deze optie ergens verborgen waar ik nog niet heb gekeken.

Het kan ook in Chrome, maar je moet er enige moeite voor doen. Dat vind ik persoonlijk vanuit het oogpunt van cyber security awareness voor 'het grote publiek' ongelukkig. Je moet er voor naar de developer tools en dan de optie security kiezen.

De combinatie "het grote publiek" en "zelf certificaat details controleren" is m.i. toch al helemaal kansloos.

Als security community (en security persoon) zit je gewoon op het verkeerde spoor wanneer je doel bereikt moet worden door "het grote publiek alle moeilijke details uit mijn vakgebied" te leren.

Het is misschien inherent aan mensen die gedreven zijn door hun eigen interesse om te denken dat iedereen daar net zo ver in wil gaan, maar zo werkt het niet.
Niet met olympische trainingsschema's voor mensen die 'een beetje fit willen blijven' , niet voor leraren Frans die 'gewoon verzameld werk Voltaire en Sartre' willen lezen, en niet om tante Truus te leren de X509 chain naar de goede root en alleen met het juiste hash algorithme te controleren.

Het is de verantwoordelijkheid van de fabrikant / programmeur om de zorgen dat het grote publiek zonder nadenken veilig kan werken.
11-10-2017, 13:40 door Anoniem
@anoniem van 13:15

Wij gaan "het grote publiek" echt niet lastig vallen met waarschuwingen als deze: "Update to the TLS 1.2 protocol on your server. Configure TLS renegotiation settings to prevent the use of weak cipher suites. Contact your web server vendor for assistance".

Het zal hen ook vaak verre boven de pet gaan. Tante Hermien heeft het al moeilijk genoeg het groene slotje in haar bladeraar goed te interpreteren, zijnde: "U heeft een veilige verbinding, maar niet perse tot een ook veilige site!". Al ze die kennis al te pakken heeft, is het mensje al computer-savvy genoeg, dunkt mij. Mevrouw Rudd vergist zich in deze nog wel eens, vooral aangaande haar favoriete onderwerp e2e encryptie (iron.).

Maar degenen, die het horen te weten moeten we wel opleiden dat ze deze kennis in huis hebben.

Als al vaak opgemerkt heeft Technische IT deze kennis vaak wel in huis, maar het doorsnee developer gilde?
Verder als "er zijn black hat, grey hat en white hat hackers" komt men vaak niet.

Niet ieder die een website in de lucht tilt, hoeft dit te weten, maar degenen, die de infrastructuur wat dit aangaat controleren, zeker wel. Er schort in dit opzicht nog heel, heel veel aan.

luntrus
11-10-2017, 14:05 door Anoniem
Door Anoniem: In Edge en Chrome kan je toch al nauwelijks je beveiligde verbinding controleren. En daarmee bedoel ik de details van een EV certificaat (dit kan wel in Edge) en de certificate chain. Bij Chrome krijg je alleen een dom groen icoontje als google vindt dat je op de goede site zit. Ik mis dit wel als ik bijvoorbeeld op ChromeOS zit.

N.B. Chrome gebruik ik zelf niet, dus misschien zit deze optie ergens verborgen waar ik nog niet heb gekeken.

Chrome op Windows: Druk F12, klik op Security.
11-10-2017, 14:35 door Bitwiper
Naast dat interceptie van TLS om drogredenen verwerpelijk is, hindert het feit dat een klein deel van Internet dit meent te moeten inzetten, de vooruitgang naar een veiliger Internet met TLS v1.3 (zie https://www.ietf.org/mail-archive/web/tls/current/msg24517.html, bron: https://www.heise.de/security/meldung/TLS-1-3-Security-Devices-verhindern-die-Einfuehrung-3852819.html).
11-10-2017, 15:20 door Anoniem
Door Anoniem: De combinatie "het grote publiek" en "zelf certificaat details controleren" is m.i. toch al helemaal kansloos.
Daar staat tegenover dat iedereen die een boormachine, keukenmes of ander potentieel schadelijk gereedschap gebruikt verondersteld wordt zelf te zorgen dat hij veilig werkt en geen brokken maakt. Dat software ook gereedschap is waar dingen mis mee kunnen gaan brengt ook een zekere verantwoordelijkheid mee om daar zorgvuldig mee om te gaan.

We hebben een paar decennia achter de rug waarin grote leveranciers van software om het hardst probeerden om de indruk te wekken dat alles zonder enige kennis van zaken bij de gebruiker vanzelf goed gaat, en dat heeft ze geen windeieren gelegd. En als het om de hangslotjes in de adresbalk van browsers gaat hebben banken, overheid en anderen ook een steentje bijgedragen om het simpeler te doen voorkomen dan het is. Vervelend genoeg is niemand erin geslaagd om het werkelijk zo simpel te maken als het wordt voorgesteld, dat is ondanks alle geleverde inspannigen en ondanks alle op zich indrukwekkende resultaten van die inspanningen nog altijd een illusie.

Dat levert in mijn ogen een situatie op dat je geen enkele gebruiker kwalijk kan nemen dat hij of zij met onvoldoende kennis van zaken software bedient, maar dat het tegelijkertijd nog steeds zo is dat gereedschap waarmee iets mis kan gaan oordeelkundig gebruikt moet worden, ook als dat gereedschap software is.

Het probleem is het grote verschil tussen een algemeen aanvaarde illusie en een hardnekkige werkelijkheid. Ik zie de Microsofts, Apples, Googles en wie er nog meer zijn van deze wereld niet zeggen: "Sorry mensen, software is veel moeilijker goed te gebruiken dan we de laatste 30 jaar hebben beweerd, nu moeten jullie echt een paar moeilijke dingen gaan leren." En ik zie de mensen die nog iets te leren hebben dat niet uit zichzelf inzien, accepteren en oppakken.

Als security community (en security persoon) zit je gewoon op het verkeerde spoor wanneer je doel bereikt moet worden door "het grote publiek alle moeilijke details uit mijn vakgebied" te leren.
Alle moeilijke details is overdreven, maar dat het een verkeerd spoor is om basiskennis over het gereedschap dat je dagelijks gebruikt op te doen klopt alleen als je die illusie van makkelijke software als waarheid omarmt. En dan zit je ook op een verkeerd spoor.

Is er een goed spoor aan te wijzen? Ik betwijfel het. Ik vind het evident dat het gemak waarmee mensen in allerlei phishingtechnieken trappen een rechtstreekse relatie heeft met een onvermogen om te snappen hoe de eigen computer en die van de bank of overheid eigenlijk werken. Om bij tegenstrijdige informatie tusen je Raboscanner en de Rabowebsite te snappen dat het de Raboscanner is die aangeeft wat je nou echt ondertekent heb je technisch inzicht nodig, hoe makkelijk dat ding verder ook werkt. Als je dat niet snapt ben je makkelijk in de war te brengen, en door die verwarring slaagt de crimineel. Om de privacyrisico's van gebruik van Facebook te snappen heb je het inzicht nodig dat computers imposante verwerkingen kunnen doen waar je niets van ziet op je beeldscherm. Ik maak soms daadwerkelijk mensen mee die niet aan het verstand te brengen is dat er meer gebeurt dan ze op hun beeldscherm zien, die ook het verschil tussen hun pc of tablet en het internet niet echt weten te maken. Die snappen iets heel fundamenteels niet wat er wel degelijk toe doet als je niet met ogen open in allerlei ellende wilt trappen.

Het "juiste" spoor is er een waarin mensen essentiële dingen snappen, en het "juiste" spoor is er zoals jij stelt een waarin je dat niet van mensen kan vragen omdat dat niet haalbaar is. Het is allebei waar en het sluit elkaar uit. Dan is er volgens mij geen juist spoor mogelijk, en blijft het dus voorlopig aanmodderen, wat we ook doen.

Ik denk dat de eerste stap op het juiste spoor, wat dat ook zal blijken te zijn, de erkenning is dat we op dit moment in een situatie zitten die we niet goed krijgen. En het juiste spoor is ook om zowel de "alles komt goed als het maar makkelijk genoeg gemaakt wordt"-mensen als de "alles komt goed als iedereen het maar snapt"-mensen met hun neus op deze lastige realiteit te drukken. Bij deze ;-).
11-10-2017, 15:45 door Briolet
Door Anoniem: In Edge en Chrome kan je toch al nauwelijks je beveiligde verbinding controleren. .

Dat valt nog mee. Probeer het eens met een mail programma zoals Thunderbird. Daar heb je iets als WireShark voor nodig om te zien welk certificaat gebruikt wordt door de SMTP of IMAP server.
11-10-2017, 20:59 door Anoniem
Door Anoniem: Alle info credits voor de onderstaande oplossing gaan naar Vixen

Zoekt op deze website en gij zult zeker de oplossing vinden, zoals de volgende.

1. Ga naar de betreffende website
2. Druk de F12 toets in

oetjes van luntrus

F12 wil mijn uitgeschakelde ongebruikte widgets openen
11-10-2017, 21:08 door Anoniem
Door Briolet:
Door Anoniem: In Edge en Chrome kan je toch al nauwelijks je beveiligde verbinding controleren. .

Dat valt nog mee. Probeer het eens met een mail programma zoals Thunderbird. Daar heb je iets als WireShark voor nodig om te zien welk certificaat gebruikt wordt door de SMTP of IMAP server.

Certificaatbeheer voor thunderbird vindt je onder voorkeuren, advanced, certificates, view certificates.
Je kan ook op de naam van je aangemaakte account klikken en dan de onderste uit de lijst pakken 'security', in het rechterveld heb je wederom "view certificates".
Thunderbird heeft net dus als firefox haar eigen lijsten.
11-10-2017, 22:20 door Anoniem
Altijd weer fijne reacties van Bitwiper, dank voor het attenderen op de noodzaak van invoer van TLS 1.3.
Het verschaft verhoogde veiligheid en het werkt sneller.

Het verwijdert oudere "gebroken" vormen van encryptie.
RSA, CBC, RC4, SHA1, arbitraire Diffie-Hellman groepen, export ciphers en maakt daarmee een einde aan
gebrek aan forward secrecy, kwetsbaarheden als Beast, Lucky13, Onveilige RC4 in https. SHA1 afgedankt vanwege het betere SHA2, CVE-2016-0701, FREAK en Logjam. Met TLS 1.3 is de onveiligheid in dit opzicht van TLS 1.2 verdwenen.

Maar SHA1 wordt nog gevonden op websites: https://shaaaaaaaaaaaaa.com/ terwijl het begin 2016 al afgevoerd had moeten zijn. Dus we zijn er nog lang niet.

Beter dat staatssecretaris in de States zich daar eens hard voor maakt i.p.v. te jengelen over verzwakken en backdoors in encryptie voor surveillance met zijn "verantwoordelijke encryptie" advies. Of goede veiligheid voor iedereen of onveiligheid voor allen,
zo simpel ligt het.
12-10-2017, 00:03 door Anoniem
Door Bitwiper: Naast dat interceptie van TLS om drogredenen verwerpelijk is,
Het is verwerpelijk om te handelen alsof je met TLS veilig bent. TLS is nooit ontworpen als complete beveiliging. Dat is een risico voor beide kanten van de verbinding. De client heeft te zorgen dat die snapt wat TLS wel en niet is, bepaalt met wie deze wil communiceren en zorgt voor de beveiliging aan de eigen kant. Van de andere kant mag je dat ook verwachten. Hoe kan een TLS terminator aan de andere kant onwenselijk zijn als je niet wil weten met wie je aan het communiceren bent? Met TLS heb je die zekerheid nooit. Je weet niet bij wie de verbinding werkelijk stopt, je weet alleen dat je de verbinding wil vertrouwen.

hindert het feit dat een klein deel van Internet dit meent te moeten inzetten, de vooruitgang naar een veiliger Internet met TLS v1.3.
De implementatie van nieuwe protocollen gaat nooit gelijkmatig en heeft niet specifiek te maken met terminators in het algemeen. Veel gebruikers van een tls-proxy hebben juist belang in gebruik van bijvoorbeeld sterke encryptie tijdens transport, ook al moeten ze aan het eigen einde een deel onversleuteld kunnen verwerken.
12-10-2017, 11:22 door Anoniem
Vraagje aan Bitwiper,

Waar moeten we op inzetten om TLS verbindingen geleidelijk iets veiliger te krijgen?

Gaat het om betere en veiligere certificering en/of betere en veiliger encryptie? Wat is de rol van DNS hierbij.

Ik noem wildcards, sub domeinen, naamserver info proliferatie, etc. als problemen.

Bijkomende vraag. Wat is de beste manier voor het monitoren van tls connecties?
Re: https://www.tbs-internet.com/php/HTML/testssl.php
Re: http://ssl-checker.online-domain-tools.com/
Re: https://www.htbridge.com/ssl/

luntrus
12-10-2017, 11:57 door Anoniem
Ellende kun je ook krijgen op sites met een goede veilige verbinding maar input door gebruikers met onveilige tracking,
voorbeelden: At least 7 third parties know you are on this webpage (van forum.X )

forum.X
screencast-o-matic.com *
Google
s3.amazonaws.com *
screendash.com
img.photobucket.com
smg.photobucket.com

57% of the trackers on this site could be helping protect you from NSA snooping.

But, even though forum.X uses HTTPS, there's at least one third parties that's been communicating insecurely. (2 nl. *)

Hoe los je zoiets op?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.