Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

NSA waarschuwt organisaties voor risico's van TLS-inspectie

woensdag 20 november 2019, 11:37 door Redactie, 15 reacties

De Amerikaanse geheime dienst NSA heeft een waarschuwing afgegeven voor organisaties die versleuteld TLS-verkeer inspecteren, aangezien dit allerlei aanvullende risico's kan introduceren (pdf). Organisaties passen TLS-inspectie toe om te voorkomen dat er gevoelige gegevens lekken.

Er zijn verschillende apparaten die versleuteld verkeer inspecteren. De apparaten maken hierbij gebruik van certificaten die op clientsystemen worden geïnstalleerd en het mogelijk maken om het TLS-verkeer te ontsleutelen. Zodra een gebruiker bijvoorbeeld een versleutelde website bezoekt, maakt hij eerst verbinding met het inspectieapparaat. De verbinding tussen de client en het apparaat is versleuteld via het geïnstalleerde certificaat. Het inspectieapparaat zet vervolgens een tweede tls-verbinding met een externe server op.

Het kan echter voorkomen dat bij één van deze verbindingen een zwakkere TLS-versleuteling wordt gebruikt dan bij de tweede verbinding, waar aanvallers misbruik van kunnen maken, aldus de NSA. Een ander risico is dat aanvallers misbruik maken van de certificaatautoriteit die op de clientsystemen is geïnstalleerd om bijvoorbeeld malware te signeren waarmee intrusion detection-systemen zijn te omzeilen.

Daarnaast zijn TLS-inspectieapparaten een aantrekkelijk doelwit voor aanvallers. Door toegang tot deze apparaten te krijgen kan een aanvaller al het verkeer in ontsleutelde vorm bekijken, zo laat de NSA weten. Verder bestaat het risico dat insiders, bijvoorbeeld een kwaadwillende systeembeheerder, misbruik van hun positie maken om wachtwoorden en andere gevoelige data in het ontsleutelde verkeer te onderscheppen. Tevens valt in de Verenigde het gebruik van TLS-inspectie onder de privacywetgeving.

Hoewel TLS-inspectie voordelen heeft, brengt het ook risico's met zich mee. "Bedrijven moeten deze risico's zorgvuldig afwegen tegen de voordelen, en wanneer TLS-inspectie wordt toegepast, deze risico's afvangen", zo laat de waarschuwing van de NSA weten. De Amerikaanse geheime dienst geeft organisaties ook verschillende tips hoe de risico's van TLS-inspectie zijn te verkleinen.

Image

Windows-lek geeft gast via UAC-beveiliging systeemrechten
Grapperhaus ziet niets in brede inzet realtime gezichtsherkenning
Reacties (15)
Reageer met quote
20-11-2019, 12:29 door Anoniem
Dezelfde risico's die je hebt als je een backdoor in end-to-end encryptie verplicht.
Reageer met quote
20-11-2019, 13:09 door Anoniem
Ze zullen het zelf wel hebben uitgeprobeerd om het zo zeker te kunnen weten.
Erger nog als de cipherlist wordt omgekeerd met easy ciphers het eerst aan de beurt.
WOW.....

Even testen dus: https://www.cdn77.com/tls-test

Test result: moderate
Unfortunately, the tested resource isn’t running on the latest TLS 1.3.

Why don't I have a perfect score?

J.O.
Reageer met quote
20-11-2019, 13:20 door Anoniem
Zie: https://help.deepsecurity.trendmicro.com/10_2/azure/ssl-traffic-inspecting.html

Nu dus, "Izze niet goe hoor, zwaaiend vingertje".

#sockpuppet
Reageer met quote
20-11-2019, 13:36 door Anoniem
Zeer gerelateerd: https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-tls-interceptie
Reageer met quote
20-11-2019, 15:39 door Anoniem
https://www.cdn77.com/tls-test?domain=aivd.nl

Security Average

"Why don't I have the perfect score?"
Reageer met quote
20-11-2019, 15:55 door Anoniem
Wat goed zeg van de NSA... ik heb vermoedelijk nog ergens pcap bestanden liggen met TLS Teardown bewijs over meerdere platformen, OS/hardware configs en meerdere providers maar steeds kwamen ze weer terug. Vooral type 21 errors in protocol renegotiation attacks. En dan maar mensen mij overtuigen dat ik gek ben en ook daar hebben ze een heel toneelwerkje voor opgevoerd. Het lijkt mij niet dat het "de Russen" of "de Chinezen" of whatever zijn die hier tussen Ziggo en mij of Tmobile en mij jaren hebben lopen rommelen.

Met wie kun je daar over praten (behalve de psycholoog natuurlijk!!!) ?

R
Reageer met quote
20-11-2019, 16:24 door Anoniem
Door Anoniem: Ze zullen het zelf wel hebben uitgeprobeerd om het zo zeker te kunnen weten.
Erger nog als de cipherlist wordt omgekeerd met easy ciphers het eerst aan de beurt.
WOW.....

Even testen dus: https://www.cdn77.com/tls-test

Test result: moderate
Unfortunately, the tested resource isn’t running on the latest TLS 1.3.

Why don't I have a perfect score?

J.O.
Kun je uitleggen wat deze test met het onderwerp te maken heeft? Het artikel gaat om het decrypten en vervolgens weer encrypten van verkeer door een organisatie (bijv. m.b.v. een next gen firewall zoals Palo Alto).
Testen of TLS1.3 wordt gebruikt is..... ?
Reageer met quote
20-11-2019, 17:22 door Erik van Straten
Door Anoniem:Testen of TLS1.3 wordt gebruikt is..... ?
Omdat zo'n apparaat zich als client (browser) voordoet richting servers op internet, kun je de WAN- (internet-) zijde van zo'n apparaat testen door met jouw browser https://www.ssllabs.com/ssltest/viewMyClient.html te openen (de resultaten hebben weinig met jouw browser te maken als zo'n apparaat er tussen zit).
Reageer met quote
20-11-2019, 17:37 door Anoniem
Wat aangaande het hier in de link beschreven scenario, de gedecrypte versie kunnen benaderen via proxies?
Re; https://news.ycombinator.com/item?id=16564935

Lees ook hier voor decrypten via een MiM proxy:
https://security.stackexchange.com/questions/65794/it-is-possible-to-decrypt-https-traffic-when-a-man-in-the-middle-proxy-is-alread

Meer over een werkgever die dit doet met de mail client van zijn werknemers:
https://security.stackexchange.com/questions/63304/how-can-my-employer-be-a-man-in-the-middle-when-i-connect-to-gmail

#sockpuppet
Reageer met quote
20-11-2019, 19:48 door Anoniem
Bij inspectie van TLS verkeer tast je de integriteit van het verkeer aan waardoor er bij een strafrechtelijkonderzoek geen spaan heel blijft van de bewijslast. Dat is wat de FBI wil voorkomen.
Reageer met quote
20-11-2019, 22:49 door Anoniem
Om te voorkomen dat een "Man in the Middle" verbinding kon worden uitgevoerd met https was het "pinnen" van het servercertificaat bedacht. Laten de browsermakers dat pinnen nu voor een poosje geleden hebben afgeschaft met de mededeling dat het implementeren van dat pinnen voor de meeste webmasters toch te moeilijk zou zijn geweest.

Waarschijnlijk is dat afschaffen eerder geweest in het kader van: als iedereen dat zou doen dan kunnen we helemaal geen versleuteld verkeer meer afluisteren.
Reageer met quote
20-11-2019, 23:28 door Anoniem
Hier werd er al eerder op ingegaan.
Het probleem is dus niet nieuw.

Zie: https://www.ise.io/casestudies/fighting-back-against-ssl-inspection-or-how-ssl-should-work/

Het traditionele CA-gebaseerde model is dus flink aan het wankelen gebracht.
De client kan a.h.w. het zwijgen worden opgelegd.
De server heeft bovendien geen mogelijkheid om mogelijke SSL/TLS interceptie technieken te ontdekken en blokkeren.
Interceptie zal ook meer en meer buiten bedrijfsnetwerken tevens publieke netwerken gaan bereiken.

Oorzaak is het ontbreken van voldoende mogelijkheden van handhaving tegenover vergrijpen tegen het CA Trust model.
Met het DigiNotar debakel nog vers in het geheugen.
Denk ook het geheel verlaten door Symantec van de certificering-arena.

Dit is dus in geen geval de allereerste waarschuwing,

#sockpuppet
Reageer met quote
21-11-2019, 12:58 door Anoniem
Wanneer gaat de NSA ons waarschuwen voor de gevaren van het spionage bedrijf Google ?
Reageer met quote
22-11-2019, 15:18 door Anoniem
Door Anoniem: Wanneer gaat de NSA ons waarschuwen voor de gevaren van het spionage bedrijf Google ?

Ik ben bang dat ze dat niet openlijk durven... Israel is een bondgenoot in de strijd tegen je weet wel en nu blijkt opnieuw dat Pegasus software, een IT bedrijfje onderhevig aan de Israelische structuur weer maximaal profiteert van lekken in de Linux kernel of Google versie van die kernel op Android...

Ik denk dat de NSA en Israel een soort entanglement is waar uiteindelijk de Russen weer van zullen profiteren als die er een propaganda wig tussen weten te drijven. Maar geen slapende honden wakker maken.

Ik zou Google Android best willen vertrouwen maar dan ben je aangewezen op de NSA en dan moet je verwachten dat je ook geadviseerd gaat worden als je lekke software draait zoals destijds met Whatapp - ook en remote exploit ontdekt door een Israelisch security bedrijfje... volgens mij krijgen die gewoon een kick van particuleer snel geld verdienen na een paar jaartjes unit 8200 ten kosten van iedereen plus een slechte naam voor Alphabet Group... in plaats van dat Tel Aviv en NSA wat beter samen gaan werken om dit soort "private excursies in de zeroday ondermijning" te voorkomen....?

Lijken me uitstekende bug bounty hunters die Israeli.... er van uit gaande dat die bugs in apps of het OS niet opzettelijk zijn geintroduceerd door een andere tak van zo'n dienst... maar wellicht zie ik nu spoken.
Reageer met quote
22-11-2019, 15:18 door Anoniem
Door Anoniem: Wanneer gaat de NSA ons waarschuwen voor de gevaren van het spionage bedrijf Google ?

Waar komt zo'n opmerking nou echt vandaan vraag ik mij af...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Digitaal monitoren van werknemers op de werkvloer:

18 reacties
Aantal stemmen: 1141
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

43 reacties
Lees meer
Juridische vraag: Is de norm 'goed werknemerschap' aan de orde wanneer een werkgever een 2FA-app op de privételefoon verplicht?
27-11-2019 door Arnoud Engelfriet

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie ...

49 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

47 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter