Ex-securitychef: SSL en RSA niet meer te vertrouwen
Volgens de voormalige cybersecurity-adviseur van het Witte Huis zijn SSL-certificaten en RSA twee-factor authenticatie niet meer te vertrouwen. Richard Clarke werkte 19 jaar voor het Pentagon, was "cybersecurity chief" en betrokken bij verschillende inlichtingendiensten. Recente aanvallen op beveiligingsbedrijf RSA en SSL-aanbieder DigiNotar zijn volgens hem een keerpunt.
"Je kunt digitale certificaten niet vertrouwen. Het is een keerpunt, niet alleen voor digitale certificaten." Hij verwijst naar de aanval op RSA, waar de aanvallers het op de twee-factor authenticatieoplossing van het bedrijf hadden voorzien. Met de gestolen gegevens werden vervolgens andere grote bedrijven, waaronder Lockheed, gehackt.
"RSA zegt dat je twee-factor authenticatie kunt blijven vertrouwen, maar hoeveel? Ga je echt op ze vertrouwen? Ik zou niet blij zijn als ik op RSA twee-factor authenticatie of een SSL-certificaatoplossing zou moeten vertrouwen."
Stuxnet
Clarke zou graag zien dat internetproviders proactief de inhoud van kwaadaardig verkeer gaan filteren. Aan de hand van signatures kan men zien of het om een mogelijke aanval gaat en dat verkeer vervolgens blokkeren. Ook gaat de voormalige securitychef in dit interview in op de vraag wie erachter de Stuxnet-worm zit.
Zelf denkt hij dat het de Amerikaanse overheid is. Die zou daarnaast ook betrokken zijn bij het uitvoeren van cyberspionage tegen andere landen, net zoals de Chinese overheid volgens Clarke het Amerikaanse ministerie van Defensie via het internet bespioneert.
Quote: "My takeaway is you can't trust digital certificates"
Wat een onzin. Je kan misschien niet een willekeurige CA vertrouwen maar als je zelf een CA in beheer hebt is het veilig zolang je je eigen CA goed beveiligd.
Hoewel hij het alleen heeft over RSA "two factor authentication" lijkt het erop dat hij "two factor authentication" sowieso niet meer vertrouwd. Dus omdat een leverancier (RSA) een bepaalde "two factor authentication" oplossing heeft die niet te vertrouwen is, zijn ineens alle "two factor authentication" oplossingen niet te vertrouwen? Volgens mij is HOTP met random gegenereerde keys nog steeds veilig.
http://erratasec.blogspot.com/2011/09/thinking-on-margin-economics.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
