Fix it, even if it ain’t broke

Door 22 oktober 2014 Geen categorie Geen reacites

Antiek SSL protocol is kwetsbaar

Het kwetsbare SSL protocol voor versleuteling van kritische of persoonlijke informatie op het Internet is toch al lang vervangen door betere opvolgers? Nou meestal niet. Lees hier hoe dat komt, welke stappen nodig zijn in uw IT Riskmanagement proces om dit soort verassingen in de toekomst te voor te zijn.

Hoe een poedel een bedreiging werd

Recent werd bekend dat er een fundamentele denkfout zit in het 18 jaar oude SSL protocol (van het slotje en de groene adresbalk in uw browser). Deze fout is relatief eenvoudig te misbruiken door iemand die in staat is zich tussen uw browser en de website die u bezoekt te plaatsen. Dus bent u kwetsbaar op ieder openbaar en/of onbeveiligd wifi netwerk. En ja, ook communicatie via onderzeese glasvezelkabels, die standaard door bevriende veiligheidsdiensten als de NSA en GCHQ gemonitored worden, loopt gevaar. De onderzoekers noemden de fout ‘Poodle’.

Poodle is sinds kort meer dan een zorgvuldig gekapte hond

Poodle is sinds kort meer dan een zorgvuldig gekapte hond

Met TLS is gelukkig al 15 jaar een verbeterde versie van het SSL protocol beschikbaar zult u zeggen en alle moderne browsers, of die nu op een PC, Mac, telefoon of tablet draaien, ondersteunen dat. Waar maken we ons druk over?
Het venijn van deze kwetsbaarheid zit hem in het feit dat TLS weliswaar in alle moderne apparatuur beschikbaar is, maar dat tegelijkertijd bijna nergens SSL support is ‘uitgezet’. De boeven van hierboven (sic ) kunnen door manipulatie zorgen dat niet het beste protocol gebruikt wordt, maar het kapotte SSL. En de gebruiker merkt hier niets van, want het slotje blijft zichtbaar en de adresbalk blijft groen.

Uw rol als IT manager, diensteigenaar, compliance manager of auditeur.

U kunt vragen of u of uw klanten er last van hebben, en zo ja hoe groot het risico dan is. Daarnaast is de vraag of u dit had kunnen voorkomen zeker zo belangrijk.

Het is bijna zeker dat het doorlopend ondersteunen van SSL nooit een bewuste keuze op managementniveau is geweest. Het zit zo diep weggestopt, en het vinkje om SSLv3 te ondersteunen staat standaard op ‘ja’, dat hier geen formeel proces aan te pas is gekomen. Het is bij audits van de systemen misschien wel gezien, maar nooit als issue aangemerkt omdat er geen problemen bekend waren. Als er al een discussie heeft plaatsgevonden, is die in het verleden misschien uit commerciële afwegingen in het voordeel van SSL geslecht, omdat een aanzienlijk deel van uw klanten niet beter kan.
Het SSL risico is dus waarschijnlijk nooit expliciet in de risk management besluitvorming naar voren gekomen en de facto op de werkvloer geaccepteerd.

Vandaag gaat het om SSL, morgen zullen er weer andere dreigingen de kop op steken. Uw organisatie heeft dus een vast omlijnde strategie nodig om legacy support (het blijven gebruiken van verouderde hard- en software) in ieder geval te signaleren, maar beter tot een minimum te beperken. Life cycle management, de gestructureerde aanpak om verouderde en verouderende hard- en software op te sporen en te vervangen, voortkomt naast het hier besproken security issue ook veel continuïteitsproblemen.

Maar er zijn er ook stappen nodig in het (IT) risk management proces. U kunt hierbij denken aan:

  • In de Business Impact Analyse (BIA) een vraag opnemen hoever u uw klanten van dienst wil zijn, ook als dat tegen hun eigen belang in gaat;
  • In de BIA opnemen hoe groot de imagoschade kan zijn als er op grote schaal gegevens van uw klanten op straat komen te liggen als gevolg van legacy;
  • In de Risico Analyse (RA) expliciet evalueren in hoeverre u bent blootgesteld aan legacy gevaren.

Met andere woorden: zorg ervoor dat u uw risico’s kent, dan kunt u ze bewust accepteren als u ervoor kiest om niet te handelen.
Overweeg daarnaast om een snelle reactiemacht (CIRT, Computer Incident Response Team) op te richten. Denk daarbij wel aan voldoende mandaat.
Als u veel zaken doet met (online)leveranciers van diensten, zou het gebruik van legacy oplossingen en het vlot oplossen van issues in het contract moeten staan.

En wat moet u nu zelf aan uw SSL probleem doen?

Het Nationaal Cyber Security Center (NCSC) adviseert om overal SSL uit te zetten, tenzij dat niet anders kan. Vooral bij organisaties waar nog volop Windows XP (!) wordt gebruikt zal dit niet zonder meer kunnen. Maar ook op moderne apparaten en software is dit niet vanzelfsprekend of eenvoudig.
Bovendien kan het geen kwaad om uw personeel, zeker als dat regelmatig op pad is en gebruik maakt van wifi netwerken, te attenderen op het feit dat ‘gratis’ bijna altijd wel een ‘prijs heeft’.

Om terug te komen op de titel van het blog: Voor security gaat het adagium “don’t fix it if it ain’t broke” niet op. Er zullen altijd kwetsbaarheden bestaan in oude versies van systemen en applicaties die het op het oog nog best goed doen. De blootstelling van u en uw klanten die daar aan gekoppeld is, is te groot om te laten bestaan.

Nota bene: u kunt hier nagaan of uw apparaat en browser (nog) kwetsbaar is.
En aanwijzingen om SSL op de meeste apparaten en browsers uit te schakelen vindt u hier.

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.