image

NSA waarschuwt organisaties voor risico's van TLS-inspectie

woensdag 20 november 2019, 11:37 door Redactie, 15 reacties

De Amerikaanse geheime dienst NSA heeft een waarschuwing afgegeven voor organisaties die versleuteld TLS-verkeer inspecteren, aangezien dit allerlei aanvullende risico's kan introduceren (pdf). Organisaties passen TLS-inspectie toe om te voorkomen dat er gevoelige gegevens lekken.

Er zijn verschillende apparaten die versleuteld verkeer inspecteren. De apparaten maken hierbij gebruik van certificaten die op clientsystemen worden geïnstalleerd en het mogelijk maken om het TLS-verkeer te ontsleutelen. Zodra een gebruiker bijvoorbeeld een versleutelde website bezoekt, maakt hij eerst verbinding met het inspectieapparaat. De verbinding tussen de client en het apparaat is versleuteld via het geïnstalleerde certificaat. Het inspectieapparaat zet vervolgens een tweede tls-verbinding met een externe server op.

Het kan echter voorkomen dat bij één van deze verbindingen een zwakkere TLS-versleuteling wordt gebruikt dan bij de tweede verbinding, waar aanvallers misbruik van kunnen maken, aldus de NSA. Een ander risico is dat aanvallers misbruik maken van de certificaatautoriteit die op de clientsystemen is geïnstalleerd om bijvoorbeeld malware te signeren waarmee intrusion detection-systemen zijn te omzeilen.

Daarnaast zijn TLS-inspectieapparaten een aantrekkelijk doelwit voor aanvallers. Door toegang tot deze apparaten te krijgen kan een aanvaller al het verkeer in ontsleutelde vorm bekijken, zo laat de NSA weten. Verder bestaat het risico dat insiders, bijvoorbeeld een kwaadwillende systeembeheerder, misbruik van hun positie maken om wachtwoorden en andere gevoelige data in het ontsleutelde verkeer te onderscheppen. Tevens valt in de Verenigde het gebruik van TLS-inspectie onder de privacywetgeving.

Hoewel TLS-inspectie voordelen heeft, brengt het ook risico's met zich mee. "Bedrijven moeten deze risico's zorgvuldig afwegen tegen de voordelen, en wanneer TLS-inspectie wordt toegepast, deze risico's afvangen", zo laat de waarschuwing van de NSA weten. De Amerikaanse geheime dienst geeft organisaties ook verschillende tips hoe de risico's van TLS-inspectie zijn te verkleinen.

Image

Reacties (15)
20-11-2019, 12:29 door Anoniem
Dezelfde risico's die je hebt als je een backdoor in end-to-end encryptie verplicht.
20-11-2019, 13:09 door Anoniem
Ze zullen het zelf wel hebben uitgeprobeerd om het zo zeker te kunnen weten.
Erger nog als de cipherlist wordt omgekeerd met easy ciphers het eerst aan de beurt.
WOW.....

Even testen dus: https://www.cdn77.com/tls-test

Test result: moderate
Unfortunately, the tested resource isn’t running on the latest TLS 1.3.

Why don't I have a perfect score?

J.O.
20-11-2019, 13:20 door Anoniem
Zie: https://help.deepsecurity.trendmicro.com/10_2/azure/ssl-traffic-inspecting.html

Nu dus, "Izze niet goe hoor, zwaaiend vingertje".

#sockpuppet
20-11-2019, 15:39 door Anoniem
https://www.cdn77.com/tls-test?domain=aivd.nl

Security Average

"Why don't I have the perfect score?"
20-11-2019, 15:55 door Anoniem
Wat goed zeg van de NSA... ik heb vermoedelijk nog ergens pcap bestanden liggen met TLS Teardown bewijs over meerdere platformen, OS/hardware configs en meerdere providers maar steeds kwamen ze weer terug. Vooral type 21 errors in protocol renegotiation attacks. En dan maar mensen mij overtuigen dat ik gek ben en ook daar hebben ze een heel toneelwerkje voor opgevoerd. Het lijkt mij niet dat het "de Russen" of "de Chinezen" of whatever zijn die hier tussen Ziggo en mij of Tmobile en mij jaren hebben lopen rommelen.

Met wie kun je daar over praten (behalve de psycholoog natuurlijk!!!) ?

R
20-11-2019, 16:24 door Anoniem
Door Anoniem: Ze zullen het zelf wel hebben uitgeprobeerd om het zo zeker te kunnen weten.
Erger nog als de cipherlist wordt omgekeerd met easy ciphers het eerst aan de beurt.
WOW.....

Even testen dus: https://www.cdn77.com/tls-test

Test result: moderate
Unfortunately, the tested resource isn’t running on the latest TLS 1.3.

Why don't I have a perfect score?

J.O.
Kun je uitleggen wat deze test met het onderwerp te maken heeft? Het artikel gaat om het decrypten en vervolgens weer encrypten van verkeer door een organisatie (bijv. m.b.v. een next gen firewall zoals Palo Alto).
Testen of TLS1.3 wordt gebruikt is..... ?
20-11-2019, 17:22 door Erik van Straten
Door Anoniem:Testen of TLS1.3 wordt gebruikt is..... ?
Omdat zo'n apparaat zich als client (browser) voordoet richting servers op internet, kun je de WAN- (internet-) zijde van zo'n apparaat testen door met jouw browser https://www.ssllabs.com/ssltest/viewMyClient.html te openen (de resultaten hebben weinig met jouw browser te maken als zo'n apparaat er tussen zit).
20-11-2019, 17:37 door Anoniem
Wat aangaande het hier in de link beschreven scenario, de gedecrypte versie kunnen benaderen via proxies?
Re; https://news.ycombinator.com/item?id=16564935

Lees ook hier voor decrypten via een MiM proxy:
https://security.stackexchange.com/questions/65794/it-is-possible-to-decrypt-https-traffic-when-a-man-in-the-middle-proxy-is-alread

Meer over een werkgever die dit doet met de mail client van zijn werknemers:
https://security.stackexchange.com/questions/63304/how-can-my-employer-be-a-man-in-the-middle-when-i-connect-to-gmail

#sockpuppet
20-11-2019, 19:48 door Anoniem
Bij inspectie van TLS verkeer tast je de integriteit van het verkeer aan waardoor er bij een strafrechtelijkonderzoek geen spaan heel blijft van de bewijslast. Dat is wat de FBI wil voorkomen.
20-11-2019, 22:49 door Anoniem
Om te voorkomen dat een "Man in the Middle" verbinding kon worden uitgevoerd met https was het "pinnen" van het servercertificaat bedacht. Laten de browsermakers dat pinnen nu voor een poosje geleden hebben afgeschaft met de mededeling dat het implementeren van dat pinnen voor de meeste webmasters toch te moeilijk zou zijn geweest.

Waarschijnlijk is dat afschaffen eerder geweest in het kader van: als iedereen dat zou doen dan kunnen we helemaal geen versleuteld verkeer meer afluisteren.
20-11-2019, 23:28 door Anoniem
Hier werd er al eerder op ingegaan.
Het probleem is dus niet nieuw.

Zie: https://www.ise.io/casestudies/fighting-back-against-ssl-inspection-or-how-ssl-should-work/

Het traditionele CA-gebaseerde model is dus flink aan het wankelen gebracht.
De client kan a.h.w. het zwijgen worden opgelegd.
De server heeft bovendien geen mogelijkheid om mogelijke SSL/TLS interceptie technieken te ontdekken en blokkeren.
Interceptie zal ook meer en meer buiten bedrijfsnetwerken tevens publieke netwerken gaan bereiken.

Oorzaak is het ontbreken van voldoende mogelijkheden van handhaving tegenover vergrijpen tegen het CA Trust model.
Met het DigiNotar debakel nog vers in het geheugen.
Denk ook het geheel verlaten door Symantec van de certificering-arena.

Dit is dus in geen geval de allereerste waarschuwing,

#sockpuppet
21-11-2019, 12:58 door Anoniem
Wanneer gaat de NSA ons waarschuwen voor de gevaren van het spionage bedrijf Google ?
22-11-2019, 15:18 door Anoniem
Door Anoniem: Wanneer gaat de NSA ons waarschuwen voor de gevaren van het spionage bedrijf Google ?

Ik ben bang dat ze dat niet openlijk durven... Israel is een bondgenoot in de strijd tegen je weet wel en nu blijkt opnieuw dat Pegasus software, een IT bedrijfje onderhevig aan de Israelische structuur weer maximaal profiteert van lekken in de Linux kernel of Google versie van die kernel op Android...

Ik denk dat de NSA en Israel een soort entanglement is waar uiteindelijk de Russen weer van zullen profiteren als die er een propaganda wig tussen weten te drijven. Maar geen slapende honden wakker maken.

Ik zou Google Android best willen vertrouwen maar dan ben je aangewezen op de NSA en dan moet je verwachten dat je ook geadviseerd gaat worden als je lekke software draait zoals destijds met Whatapp - ook en remote exploit ontdekt door een Israelisch security bedrijfje... volgens mij krijgen die gewoon een kick van particuleer snel geld verdienen na een paar jaartjes unit 8200 ten kosten van iedereen plus een slechte naam voor Alphabet Group... in plaats van dat Tel Aviv en NSA wat beter samen gaan werken om dit soort "private excursies in de zeroday ondermijning" te voorkomen....?

Lijken me uitstekende bug bounty hunters die Israeli.... er van uit gaande dat die bugs in apps of het OS niet opzettelijk zijn geintroduceerd door een andere tak van zo'n dienst... maar wellicht zie ik nu spoken.
22-11-2019, 15:18 door Anoniem
Door Anoniem: Wanneer gaat de NSA ons waarschuwen voor de gevaren van het spionage bedrijf Google ?

Waar komt zo'n opmerking nou echt vandaan vraag ik mij af...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.