Beveiligers negeren risico’s vervalste certificaten
IT-beveiligers weten dat de kans groot is dat ze te maken krijgen met vervalste certificaten en onbetrouwbare certificaatverstrekkers maar de meesten doen daar niets tegen.
Dat blijkt uit onderzoek van beveiliger Venafi onder ruim 300 beveiligingsexperts tijdens Black Hat USA 2015.
De overgrote meerderheid – 90 procent – meent dat binnen twee jaar een geslaagde aanval uitgevoerd zal worden op een van de grote certificaatverstrekkers zoals Symantec, Comodo of Entrust. Ruim twee derde weet ook heel goed wat het risico is als een CA onbetrouwbaar is, maar de meesten ondernemen hier niets tegen. Een voorbeeld is de Chinese CA CNNIC. Google en Mozilla lieten onlangs weten deze overheidsCA niet meer te vertrouwen. Tot nu toe zijn slechts bij een kwart van de respondenten de certificaten die door CNNIC zijn uitgegeven van alle systemen verwijderd. Bijna een kwart heeft niets gedaan, een derde weet niet of er iets mee is gebeurd en de rest wacht af tot Apple en Microsoft nog iets gaan doen.
Daarbij blijkt men ook niet goed op de hoogte over wie nu verantwoordelijk is voor de beveiliging van de certificaten en cryptografische sleutels. Twee derde denkt dat de CA daar wel voor zorgt. Slechts een derde weet hoe het wel zit: zodra het certificaat is verstrekt, is de afnemer daarvan zelf verantwoordelijk voor de beveiliging ervan.
Bron: Automatiseringgids
Fout opgemerkt of meer nieuws? Meld het hier