Versleuteld (ssl-)verkeer wordt een steeds belangrijker aspect op internet. Op dit moment is ongeveer 30 procent van al het internetverkeer versleuteld via zogenaamde secure sockets layer (ssl)-technologie. De verwachting is dat dit zal toenemen tot 60 procent voor het einde van dit jaar.
Er zijn meerdere redenen voor die groei, zoals de toename van cloud based services voor bedrijfskritischee applicaties, bestaande content providers zoals Netflix die al begonnen zijn om de transitie te maken naar versleutelde video-streaming naar geselecteerde browsers, een hogere score in Google voor sites die secure sockets layer (ssl) ondersteunen en de opkomst van het spdy- en http/2-protocol die volledig met versleuteld verkeer werken.
Encryptie
Voor de gebruikers van applicaties die volledig middels encryptie werken is het een geruststellende gedachte dat niemand kan zien wat er over het internet wordt verstuurd. Deze veiligheid kan echter ook een schijnveiligheid zijn, doordat je denkt veilig te zijn, maar er toch data gelekt kan worden. Wanneer je bijvoorbeeld je gebruikersnaam en wachtwoord verstuurd om je aan te melden op een service en de browser laat zien dat de site ‘ssl encrypted’ is, mag je aannemen dat het verkeer dus versleuteld wordt verzonden. Het is echter nog steeds mogelijk om op eenvoudige wijze de gebruikersnaam en het wachtwoord zichtbaar te maken. Malware kan zich namelijk in de browser nestelen en deze gegevens afvangen voordat ze versleuteld worden.
Cookie-diefstal
Verbindingen op een openbare hotspot, waar je via een selectieve versleutelde login-pagina inlogt, lijken veilig. Maar wanneer alleen die inlogpagina versleuteld is, is het zeer eenvoudig voor iemand die via dezelfde hotspot is verbonden in het verkeer te kijken en eventueel je sessie over te nemen door de sessie-cookie te stelen. Deze cookie-diefstal is in dit geval even gevaarlijk als de diefstal van inloggegevens.
Ratings opvragen
Ook gebeurt het dikwijls dat de ssl-technologie die gebruikt wordt door een bepaalde applicatie niet de sterkste encryptie gebruikt die beschikbaar is. Dit betekent dat er nog steeds een mogelijkheid bestaat dat de communicatie zichtbaar is voor degenen die de encryptie weten te kraken. Een goede manier om te verifiëren of er een sterke encryptie wordt gebruikt is om de applicatie te checken via qualys of ssl-labs en de rating op te vragen, van A+ (zeer veilig) tot F (minder veilig). Voor bedrijven die steeds meer zijn overgegaan op ssl-technologie is het erg lastig onderscheid te maken tussen goed en slecht verkeer. Wanneer ssl-encryptie is doorgevoerd in de applicatie, zijn de verschillende firewalls en ids/ips-systemen blind en moeten ze al het verkeer doorlaten, inclusief de cyber attacks die plaatsvinden.
50 procent ssl/tls-aanvallen
Gartner voorspelt dat in 2017 ongeveer 50 procent van alle aanvallen gebruik maakt van ssl/tls, terwijl de meeste bedrijven nog niet in staat zijn ssl-communicatie te ‘ontsleutelen’ en te analyseren op mogelijke bedreigingen. Voor bedrijven is het dus noodzakelijk om de bestaande security-infrastructuur eens tegen het licht te houden om te zien of deze wel kan omgaan met versleuteld verkeer en of deze krachtig genoeg is om de hoeveelheid versleuteld verkeer te kunnen verwerken.
Dennis de Leest, security engineer & security trendwatcher bij F5 Networks