NSA waarschuwt organisaties voor risico's van TLS-inspectie
De Amerikaanse geheime dienst NSA heeft een waarschuwing afgegeven voor organisaties die versleuteld TLS-verkeer inspecteren, aangezien dit allerlei aanvullende risico's kan introduceren (pdf). Organisaties passen TLS-inspectie toe om te voorkomen dat er gevoelige gegevens lekken.
Er zijn verschillende apparaten die versleuteld verkeer inspecteren. De apparaten maken hierbij gebruik van certificaten die op clientsystemen worden geïnstalleerd en het mogelijk maken om het TLS-verkeer te ontsleutelen. Zodra een gebruiker bijvoorbeeld een versleutelde website bezoekt, maakt hij eerst verbinding met het inspectieapparaat. De verbinding tussen de client en het apparaat is versleuteld via het geïnstalleerde certificaat. Het inspectieapparaat zet vervolgens een tweede tls-verbinding met een externe server op.
Het kan echter voorkomen dat bij één van deze verbindingen een zwakkere TLS-versleuteling wordt gebruikt dan bij de tweede verbinding, waar aanvallers misbruik van kunnen maken, aldus de NSA. Een ander risico is dat aanvallers misbruik maken van de certificaatautoriteit die op de clientsystemen is geïnstalleerd om bijvoorbeeld malware te signeren waarmee intrusion detection-systemen zijn te omzeilen.
Daarnaast zijn TLS-inspectieapparaten een aantrekkelijk doelwit voor aanvallers. Door toegang tot deze apparaten te krijgen kan een aanvaller al het verkeer in ontsleutelde vorm bekijken, zo laat de NSA weten. Verder bestaat het risico dat insiders, bijvoorbeeld een kwaadwillende systeembeheerder, misbruik van hun positie maken om wachtwoorden en andere gevoelige data in het ontsleutelde verkeer te onderscheppen. Tevens valt in de Verenigde het gebruik van TLS-inspectie onder de privacywetgeving.
Hoewel TLS-inspectie voordelen heeft, brengt het ook risico's met zich mee. "Bedrijven moeten deze risico's zorgvuldig afwegen tegen de voordelen, en wanneer TLS-inspectie wordt toegepast, deze risico's afvangen", zo laat de waarschuwing van de NSA weten. De Amerikaanse geheime dienst geeft organisaties ook verschillende tips hoe de risico's van TLS-inspectie zijn te verkleinen.
Erger nog als de cipherlist wordt omgekeerd met easy ciphers het eerst aan de beurt.
WOW.....
Even testen dus: https://www.cdn77.com/tls-test
Test result: moderate
Unfortunately, the tested resource isn’t running on the latest TLS 1.3.
Why don't I have a perfect score?
J.O.
Nu dus, "Izze niet goe hoor, zwaaiend vingertje".
#sockpuppet
Security Average
"Why don't I have the perfect score?"
Met wie kun je daar over praten (behalve de psycholoog natuurlijk!!!) ?
R
Erger nog als de cipherlist wordt omgekeerd met easy ciphers het eerst aan de beurt.
WOW.....
Even testen dus: https://www.cdn77.com/tls-test
Test result: moderate
Unfortunately, the tested resource isn’t running on the latest TLS 1.3.
Why don't I have a perfect score?
J.O.
Testen of TLS1.3 wordt gebruikt is..... ?
Re; https://news.ycombinator.com/item?id=16564935
Lees ook hier voor decrypten via een MiM proxy:
https://security.stackexchange.com/questions/65794/it-is-possible-to-decrypt-https-traffic-when-a-man-in-the-middle-proxy-is-alread
Meer over een werkgever die dit doet met de mail client van zijn werknemers:
https://security.stackexchange.com/questions/63304/how-can-my-employer-be-a-man-in-the-middle-when-i-connect-to-gmail
#sockpuppet
Waarschijnlijk is dat afschaffen eerder geweest in het kader van: als iedereen dat zou doen dan kunnen we helemaal geen versleuteld verkeer meer afluisteren.
Het probleem is dus niet nieuw.
Zie: https://www.ise.io/casestudies/fighting-back-against-ssl-inspection-or-how-ssl-should-work/
Het traditionele CA-gebaseerde model is dus flink aan het wankelen gebracht.
De client kan a.h.w. het zwijgen worden opgelegd.
De server heeft bovendien geen mogelijkheid om mogelijke SSL/TLS interceptie technieken te ontdekken en blokkeren.
Interceptie zal ook meer en meer buiten bedrijfsnetwerken tevens publieke netwerken gaan bereiken.
Oorzaak is het ontbreken van voldoende mogelijkheden van handhaving tegenover vergrijpen tegen het CA Trust model.
Met het DigiNotar debakel nog vers in het geheugen.
Denk ook het geheel verlaten door Symantec van de certificering-arena.
Dit is dus in geen geval de allereerste waarschuwing,
#sockpuppet
Ik ben bang dat ze dat niet openlijk durven... Israel is een bondgenoot in de strijd tegen je weet wel en nu blijkt opnieuw dat Pegasus software, een IT bedrijfje onderhevig aan de Israelische structuur weer maximaal profiteert van lekken in de Linux kernel of Google versie van die kernel op Android...
Ik denk dat de NSA en Israel een soort entanglement is waar uiteindelijk de Russen weer van zullen profiteren als die er een propaganda wig tussen weten te drijven. Maar geen slapende honden wakker maken.
Ik zou Google Android best willen vertrouwen maar dan ben je aangewezen op de NSA en dan moet je verwachten dat je ook geadviseerd gaat worden als je lekke software draait zoals destijds met Whatapp - ook en remote exploit ontdekt door een Israelisch security bedrijfje... volgens mij krijgen die gewoon een kick van particuleer snel geld verdienen na een paar jaartjes unit 8200 ten kosten van iedereen plus een slechte naam voor Alphabet Group... in plaats van dat Tel Aviv en NSA wat beter samen gaan werken om dit soort "private excursies in de zeroday ondermijning" te voorkomen....?
Lijken me uitstekende bug bounty hunters die Israeli.... er van uit gaande dat die bugs in apps of het OS niet opzettelijk zijn geintroduceerd door een andere tak van zo'n dienst... maar wellicht zie ik nu spoken.
Waar komt zo'n opmerking nou echt vandaan vraag ik mij af...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?