De Amerikaanse geheime dienst NSA heeft een waarschuwing afgegeven voor organisaties die versleuteld TLS-verkeer inspecteren, aangezien dit allerlei aanvullende risico's kan introduceren (pdf). Organisaties passen TLS-inspectie toe om te voorkomen dat er gevoelige gegevens lekken.
Er zijn verschillende apparaten die versleuteld verkeer inspecteren. De apparaten maken hierbij gebruik van certificaten die op clientsystemen worden geïnstalleerd en het mogelijk maken om het TLS-verkeer te ontsleutelen. Zodra een gebruiker bijvoorbeeld een versleutelde website bezoekt, maakt hij eerst verbinding met het inspectieapparaat. De verbinding tussen de client en het apparaat is versleuteld via het geïnstalleerde certificaat. Het inspectieapparaat zet vervolgens een tweede tls-verbinding met een externe server op.
Het kan echter voorkomen dat bij één van deze verbindingen een zwakkere TLS-versleuteling wordt gebruikt dan bij de tweede verbinding, waar aanvallers misbruik van kunnen maken, aldus de NSA. Een ander risico is dat aanvallers misbruik maken van de certificaatautoriteit die op de clientsystemen is geïnstalleerd om bijvoorbeeld malware te signeren waarmee intrusion detection-systemen zijn te omzeilen.
Daarnaast zijn TLS-inspectieapparaten een aantrekkelijk doelwit voor aanvallers. Door toegang tot deze apparaten te krijgen kan een aanvaller al het verkeer in ontsleutelde vorm bekijken, zo laat de NSA weten. Verder bestaat het risico dat insiders, bijvoorbeeld een kwaadwillende systeembeheerder, misbruik van hun positie maken om wachtwoorden en andere gevoelige data in het ontsleutelde verkeer te onderscheppen. Tevens valt in de Verenigde het gebruik van TLS-inspectie onder de privacywetgeving.
Hoewel TLS-inspectie voordelen heeft, brengt het ook risico's met zich mee. "Bedrijven moeten deze risico's zorgvuldig afwegen tegen de voordelen, en wanneer TLS-inspectie wordt toegepast, deze risico's afvangen", zo laat de waarschuwing van de NSA weten. De Amerikaanse geheime dienst geeft organisaties ook verschillende tips hoe de risico's van TLS-inspectie zijn te verkleinen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...
Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie ...
Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?
Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.