image

Amerikaanse overheid waarschuwt voor MitM-aanvallen

vrijdag 1 mei 2015, 15:36 door Redactie, 1 reacties

Internetgebruikers moeten hun communicatie en verkeer op internet beveiligen, anders kunnen ze het doelwit van Man-in-the-Middle-aanvallen worden, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT). Het US-CERT wijst naar een recente DDoS-aanval waarbij de browsers van internetgebruikers werden gebruikt om grote hoeveelheden data naar een website te sturen.

Het US-CERT laat niet weten om welk specifiek incident het gaat, maar het betreft bijna zeker de DDoS-aanval op GitHub. Daarbij wisten aanvallers het verkeer naar de Chinese zoekmachine Baidu te manipuleren zodat de website van GitHub werd aangevallen. Volgens US-CERT had de code die de browsers GitHub liet aanvallen ook kunnen worden gebruikt om een exploit voor een bepaald beveiligingslek uit te voeren of de browser andere acties uit te laten voeren.

Over het algemeen bieden encryptie en digitale certificaten een effectieve beveiliging tegen MitM-aanvallen, merkt de Amerikaanse overheidsdienst op. Bij recente MitM-aanvallen maakten aanvallers echter gebruik van zwakheden in de cryptografische infrastructuur, waarbij US-CERT vooral naar certificaatautoriteiten en certificaatstores in browsers wijst, maar ook encryptiealgoritmes en de cryptografische protocollen zelf noemt.

Internetgebruikers die zich tegen MitM-aanvallen willen beschermen kunnen verschillende maatregelen nemen. Zo wordt geadviseerd om naar TLS 1.1 of nieuwer te upgraden en TLS 1.0 en SSL 1, 2 en 3 uit te schakelen. Ook wordt het gebruik van certificaatpinning aangeraden. Iets wat via de gratis Microsoft Enhanced Mitigation Experience Toolkit (EMET) kan.

Websites

Voor eigenaren van websites wijst US-CERT naar het toepassen van DNS-gebaseerde Authentication of Named Entities (DANE). Hierbij kunnen websites het SSL-certificaat via DNS aanbieden. De browser controleert het certificaat dat via HTTPS is ontvangen met het via DNS ontvangen certificaat. Komen die niet overeen, dan is er iets aan de hand. Als laatste wordt het gebruik van "Network Notary Servers" aangeraden. Daarmee kunnen browsers de authenticiteit van een website controleren zonder dat hier een certificaatautoriteit aan te pas komt.

Reacties (1)
02-05-2015, 16:09 door Anoniem
Voor eigenaren van websites wijst US-CERT naar het toepassen van DNS-gebaseerde Authentication of Named Entities (DANE). Hierbij kunnen websites het SSL-certificaat via DNS aanbieden. De browser controleert het certificaat dat via HTTPS is ontvangen met het via DNS ontvangen certificaat.

En het mooie hiervan is dat een browser die DANE/TLSA ondersteunt ook gewoon self-signed certificaten accepteert als geverifieerd. Je hebt dan helemaal geeen (onbetrouwbare) CA's meer nodig.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.