Onvelig SSL gebruik brengt Belgische websites in gevaar

Op Infosecurity Belgium pakte securitytestspecialist Scanit uit met verontrustende cijfers over met SSL-beveiligde websites in België. Zowat 40 procent van de sites bleken kwetsbaar voor aanvallen door buitenstaanders.

Op Infosecurity Belgium pakte securitytestspecialist Scanit uit met verontrustende cijfers over met SSL-beveiligde websites in België. Zowat 40 procent van de sites bleken kwetsbaar voor aanvallen door buitenstaanders.

Verontrustend, want SSL, alias het Secure Sockets Layer_protocol, wordt wordt erg vaak aangewend voor het creêren van beveiligde connecties met sites als e-winkels, overheidsinstellingen, bedrijfswebsites en over het algemeen alle mogelijke sites waar wordt gestreefd naar een hoog niveau van gegevensbeveiliging. Bedenk daarbij wel dat SSL de verbinding beveiligt – een veilige verpakking, zoals Scanit het stelt – en niet de inhoud zelf versleutelt.

Scanit selecteerde via websites als Google of Yahoo in totaal 432 met SSL-beveiligde Belgische websites, en daarvan bleken dus 40 procent kwetsbaar te zijn voor ‘man in the middle’ aanvallen. Dat betekent dat de communicatie tussen gebruiker en site door een derde partij kan worden geïntercepteerd. Een belangrijk probleem vormen hierbij de ‘certificaten’ die de ware identiteit van de site garanderen, met in zo’n 5 procent van de gevallen een ‘vervallen certificaat’, of ‘self signed’ (en dus niet zelf gegarandeerd door een onafhankelijke partij, 10% van de gevallen) of een verkeerde naam bevat (ca. 21%). In 14 procent van de gevallen was het protocol zelf aangetast. Belangrijk is het te beseffen dat in het geval van de certificaten de gebruiker wel gewoonlijk wordt gewaarschuwd voor mogelijke problemen – maar de meeste gebruikers klikken toch op continue, omdat dergelijke waarschuwingen vrij vaak worden getoond en de verbinding toch wel tot stand komt – maar dat in het geval van een aangetast protocol hij of zij helemaal geen waarschuwing krijgt.

Scanit adviseert de eigenaars van websites dan ook meer aandacht te besteden aan de gebruikte certificaten, evenals het gebruik van te zwakke encryptie sleutels te stoppen.Voorts wijst Scanit erop dat door het ontbreken van een juridisch kader dat onderzoekers beschermt tegen mogelijke strafrechterlijke gevolgen van hun onderzoeksdaden, het eigenlijk niet mogelijk is de betrokken sites van hun gevaarlijke toestand te verwittigen. Hier zou toch dringend werk moeten van worden gemaakt, bijvoorbeeld door de mogelijkheid om anoniem bestaande problemen te kunnen melden aan een hiervoor geaccrediteerde instelling.