Maadelijks Archief: oktober 2014

Fix it, even if it ain’t broke

Door | Geen categorie | Geen reacites

Antiek SSL protocol is kwetsbaar

Het kwetsbare SSL protocol voor versleuteling van kritische of persoonlijke informatie op het Internet is toch al lang vervangen door betere opvolgers? Nou meestal niet. Lees hier hoe dat komt, welke stappen nodig zijn in uw IT Riskmanagement proces om dit soort verassingen in de toekomst te voor te zijn.

Hoe een poedel een bedreiging werd

Recent werd bekend dat er een fundamentele denkfout zit in het 18 jaar oude SSL protocol (van het slotje en de groene adresbalk in uw browser). Deze fout is relatief eenvoudig te misbruiken door iemand die in staat is zich tussen uw browser en de website die u bezoekt te plaatsen. Dus bent u kwetsbaar op ieder openbaar en/of onbeveiligd wifi netwerk. En ja, ook communicatie via onderzeese glasvezelkabels, die standaard door bevriende veiligheidsdiensten als de NSA en GCHQ gemonitored worden, loopt gevaar. De onderzoekers noemden de fout ‘Poodle’.

Poodle is sinds kort meer dan een zorgvuldig gekapte hond

Poodle is sinds kort meer dan een zorgvuldig gekapte hond

Met TLS is gelukkig al 15 jaar een verbeterde versie van het SSL protocol beschikbaar zult u zeggen en alle moderne browsers, of die nu op een PC, Mac, telefoon of tablet draaien, ondersteunen dat. Waar maken we ons druk over?
Het venijn van deze kwetsbaarheid zit hem in het feit dat TLS weliswaar in alle moderne apparatuur beschikbaar is, maar dat tegelijkertijd bijna nergens SSL support is ‘uitgezet’. De boeven van hierboven (sic ) kunnen door manipulatie zorgen dat niet het beste protocol gebruikt wordt, maar het kapotte SSL. En de gebruiker merkt hier niets van, want het slotje blijft zichtbaar en de adresbalk blijft groen.

Uw rol als IT manager, diensteigenaar, compliance manager of auditeur.

U kunt vragen of u of uw klanten er last van hebben, en zo ja hoe groot het risico dan is. Daarnaast is de vraag of u dit had kunnen voorkomen zeker zo belangrijk.

Het is bijna zeker dat het doorlopend ondersteunen van SSL nooit een bewuste keuze op managementniveau is geweest. Het zit zo diep weggestopt, en het vinkje om SSLv3 te ondersteunen staat standaard op ‘ja’, dat hier geen formeel proces aan te pas is gekomen. Het is bij audits van de systemen misschien wel gezien, maar nooit als issue aangemerkt omdat er geen problemen bekend waren. Als er al een discussie heeft plaatsgevonden, is die in het verleden misschien uit commerciële afwegingen in het voordeel van SSL geslecht, omdat een aanzienlijk deel van uw klanten niet beter kan.
Het SSL risico is dus waarschijnlijk nooit expliciet in de risk management besluitvorming naar voren gekomen en de facto op de werkvloer geaccepteerd.

Vandaag gaat het om SSL, morgen zullen er weer andere dreigingen de kop op steken. Uw organisatie heeft dus een vast omlijnde strategie nodig om legacy support (het blijven gebruiken van verouderde hard- en software) in ieder geval te signaleren, maar beter tot een minimum te beperken. Life cycle management, de gestructureerde aanpak om verouderde en verouderende hard- en software op te sporen en te vervangen, voortkomt naast het hier besproken security issue ook veel continuïteitsproblemen.

Maar er zijn er ook stappen nodig in het (IT) risk management proces. U kunt hierbij denken aan:

  • In de Business Impact Analyse (BIA) een vraag opnemen hoever u uw klanten van dienst wil zijn, ook als dat tegen hun eigen belang in gaat;
  • In de BIA opnemen hoe groot de imagoschade kan zijn als er op grote schaal gegevens van uw klanten op straat komen te liggen als gevolg van legacy;
  • In de Risico Analyse (RA) expliciet evalueren in hoeverre u bent blootgesteld aan legacy gevaren.

Met andere woorden: zorg ervoor dat u uw risico’s kent, dan kunt u ze bewust accepteren als u ervoor kiest om niet te handelen.
Overweeg daarnaast om een snelle reactiemacht (CIRT, Computer Incident Response Team) op te richten. Denk daarbij wel aan voldoende mandaat.
Als u veel zaken doet met (online)leveranciers van diensten, zou het gebruik van legacy oplossingen en het vlot oplossen van issues in het contract moeten staan.

En wat moet u nu zelf aan uw SSL probleem doen?

Het Nationaal Cyber Security Center (NCSC) adviseert om overal SSL uit te zetten, tenzij dat niet anders kan. Vooral bij organisaties waar nog volop Windows XP (!) wordt gebruikt zal dit niet zonder meer kunnen. Maar ook op moderne apparaten en software is dit niet vanzelfsprekend of eenvoudig.
Bovendien kan het geen kwaad om uw personeel, zeker als dat regelmatig op pad is en gebruik maakt van wifi netwerken, te attenderen op het feit dat ‘gratis’ bijna altijd wel een ‘prijs heeft’.

Om terug te komen op de titel van het blog: Voor security gaat het adagium “don’t fix it if it ain’t broke” niet op. Er zullen altijd kwetsbaarheden bestaan in oude versies van systemen en applicaties die het op het oog nog best goed doen. De blootstelling van u en uw klanten die daar aan gekoppeld is, is te groot om te laten bestaan.

Nota bene: u kunt hier nagaan of uw apparaat en browser (nog) kwetsbaar is.
En aanwijzingen om SSL op de meeste apparaten en browsers uit te schakelen vindt u hier.

Alle eieren in één mandje?

Door | Geen categorie | Geen reacites

Gistermiddag gebeurde het. Theorie werd persoonlijke werkelijkheid. Mijn netwerkleverancier KPN had regionale problemen met “Internet”.
Helaas werd al snel duidelijk dat dit zowel de vaste als de mobiele (IP) dienstverlening van KPN betrof: noch over de koperkabel, noch via de mobiele telefoon was het mogelijk om websites te bezoeken, mail te ontvangen of te versturen. Alle schermen toonden alleen maar een draaiend wieltje. En toen werd me rap duidelijk dat ik zelf in de situatie was beland waar ik mijn klanten als Business Continuity consultant altijd voor waarschuw: als je meerdere diensten van één leverancier ‘stapelt’, nemen de gevolgen van een storing enorm toe. Zeker als het dan gaat om een dienst die sluipenderwijs steeds belangrijker wordt voor de voortgang van je primaire bedrijfsprocessen , dan kan dat de bedrijfsvoering behoorlijk in de war lopen. Voor mij betekende het een halve middag geen websitebeheer, en geen e-mailafhandeling.
Het stapelen van diensten wordt de laatste jaren zeer voortvarend door alle telecomleveranciers gestimuleerd met Alles-in-eenpakketten, Familievoordeelopties, etc. Door het combineren van vaste tele- en datacom met mobiele en met TV bij één provider kunt u aanzienlijke besparingen realiseren op uw maandelijkse lasten. Het nadeel hiervan is dan natuurlijk wel dat als er dan iets mis gaat bij uw provider, u met een beetje pech ook niets meer kunt. Dat kan natuurlijk een zeer weloverwogen beslissing zijn (“die 1 of 2 keer dat dit per jaar kan gebeuren neem ik voor lief”), maar misschien overkomt het u en is dat een vervelende verrassing. In dit laatste geval bent u, net als ikzelf, toe aan een herziening van uw persoonlijke of zakelijke impact- en risicoanalyse.
In mijn geval is mijn conclusie dat ik voorlopig het risico van een kortdurende Internetblackout voor lief neem en geen extra kosten ga maken door een deel van mijn diensten elders onder te brengen. Maar bij de eerstvolgende contractvernieuwing ga ik het proces nog een keer doorlopen; misschien dat ik dan zonder veel extra kosten wel extra zekerheid kan inkopen.