Blog: All systems down: bereid je voor op een nieuw ‘cryptogeddon’

Door Peter Rietveld, senior consul­tant bij Traxion

Vond je dat Heart­bleed of de DigiNotar-affaire al voor een ravage zorgden op het gebied van cyber­se­cu­rity? Maak dan je borst maar nat. Want de volgende crisis staat voor de deur. En die is – net als altijd – weer erg gecompliceerd.

Peter Rietveld van Traxion

TLS, het encryp­tie­pro­tocol dat eerder bekend­stond onder de afkorting SSL, is wereld­wijd het meest gebruikte bevei­li­gings­me­cha­nisme. Mede door de toege­nomen aandacht voor privacy (Facebook) en security (Snowden, Huawei) is nu tot 90 procent van al het inter­net­ver­keer versleu­teld en in de meeste gevallen met TLS1.2. Deze ingrij­pende ontwik­ke­ling heeft zich in slechts een paar jaar voltrokken. 

Formele adoptie

Ondanks de formele adoptie van security-concepten als Zero Trust of daarvoor Jericho Manifesto, blijven bedrijfs­net­werken achter­lopen. In het algemeen is het data­ver­keer op een bedrijfs­net­werk niet versleu­teld. En als het wel versleu­teld is, gebeurt dat met TLS1.0. De komende crisis draait dan ook om deze oude encryptie die al in 2020 door browsers geblok­keerd gaat worden. Een gebruiker krijgt dan de melding ‘Toegang geweigerd’, zonder verdere toelich­ting. Hetzelfde geldt voor de beheer­ders die dit terug gaan zien in de logs.

Adoptie van de opvolger van TLS1.0, TLS1.1, is in de praktijk nooit goed van de grond gekomen. Dat betekent dat versie 1.0, die dateert uit 1999, nog steeds leidend is in veel bedrijfs­net­werken. TLS1.1 wordt volgend jaar overigens ook geblok­keerd, samen met zijn voor­ganger. We zien nu dat TLS1.2 pas net begint op te komen in de nieuwste versies van grote IT-omge­vingen (gebouwd met producten als Oracle, SAP, WebSphere en derge­lijke). In veel gevallen is een upgrade nodig van de appli­ca­tie­server, wat weer een upgrade van de Java-versie met zich meebrengt. Dat vereist op zijn beurt een refac­to­ring van de appli­ca­tie­code. Een complexe zaak die gespe­ci­a­li­seerde kennis vereist en tijd en geld kost. Veel orga­ni­sa­ties zijn daar niet op voor­be­reid en staan dus in hun hemd. 

Ondersteuning

In oktober 2018 maakten Apple, Microsoft en Google bekend dat zij niet langer onder­steu­ning gaan bieden voor TLS1.1 en TLS1.0. Alle bekende browsers – Apple Safari, Google Chrome, Mozilla Firefox, Microsoft Edge en Internet Explorer – stoppen begin 2020 met de onder­steu­ning van TLS1.1 en TLS1.0. Zo wordt tien jaar na de officiële intro­ductie de transitie naar TLS1.2 afgedwongen.

TLS1.2 is in de praktijk ook verplicht voor HTTP/​2 en een toenemend aantal andere moderne tech­no­lo­gieën. Het Token Binding-protocol zal de kloof dichten met bearer tokens – inclusief cookie-diefstal. Het internet wordt zo een veiliger plek dan het doorsnee bedrijfs-LAN. Thuis­ge­brui­kers draaien alle patches op moderne bestu­rings­sys­temen en zijn redelijk beschermd. Bedrijven daar­en­tegen worstelen nog met de 2005-stan­daarden. Zij worstelen met NTLM en SSH en vrezen het einde van de Windows 7 en Oracle 10.

Goed mis

Dit gaat goed mis: we gaan richting een ‘cryp­to­geddon’. Geen juiste sleutel, geen sessie. Je krijgt dan geen toegang tot het systeem. Ook kleinere features gaan door gebrek aan aandacht problemen geven op onver­wachte plekken. Zo zal zelfs de nieuwste versie 2019 van Active Directory-trusts ermee stoppen. Toege­geven, dit is bekend bij Microsoft en dat zal vast met een oplossing komen. Maar er zijn veel meer voor­beelden – heel veel meer.

Hacker’s heaven

Wanneer je als orga­ni­satie na juni volgend jaar nog je oude appli­ca­tie­server wil gebruiken, dan is de logische optie dat je ook een oude browser moet gebruiken. Een bedrijf moet dan zijn mede­wer­kers vertellen dat ze geen privéspullen kunnen gebruiken omdat het niet veilig is, terwijl ze dezelfde mede­wer­kers dwingen om browsers uit het stenen tijdperk te gebruiken, zoals Internet Explorer 9, die draaien op nostal­gi­sche Windows 7‑computers. Mobiele devices zijn evenmin te updaten – bedrijven zullen bevei­li­ging­sup­dates actief moeten blokkeren. Aangezien dit alles lastig en kostbaar is qua beheer, is de meest eenvou­dige en dus meest voor de hand liggende uitkomst van de overstap naar TLS1.2 het volledig uitzetten van encryptie: en dat is niks minder dan hacker’s heaven.

De intro­ductie van TLS1.3 in de afgelopen jaren gaat nu samen met een toename van upgrades en verdient het daarom om gevolgd te worden. Veel gere­la­teerde tech­no­lo­gieën zijn nu in opkomst en kunnen mogelijk een verplichte standaard worden. Token Binding, Unicode-certi­fi­caten, DNS over TLS, encrypted SNI en Certi­fi­cate Transpa­rency vragen allemaal om aandacht. Als we nu niet handelen, gaan gebrui­kers straks overal veilig­heids­waar­schu­wingen tegen­komen. Dat zal voelen als een veenbrand met af en toe ergens een opgelaaid open vuur.

Perfect Forward Secrecy

We moeten hierbij bedenken dat TLS1.3 nog niet eens het grootste probleem is voor enter­prise security; dat is de onder­lig­gende transitie naar nieuwe sleutels. Deze blokkeren een man-in-the-middle-aanval met hun ‘Perfect Forward Secrecy’-mogelijkheid. Wanneer deze PFS-sleutels in TLS1.2 geac­ti­veerd zijn, heb je volgens de PCI-DSS-stan­daards te maken met Late TLS. Deze sleutels zijn geen onderdeel van de originele TLS1.2‑stack. In het algemeen voegen updates ze toe, maar ze enablen ze niet. De originele suite van sleutels wordt Early TLS genoemd. Om compliant te zijn moet alleen Late TLS geac­ti­veerd zijn. De Auto­ri­teit Persoons­ge­ge­vens, handhaver van de AVG, heeft ook deze lijn gekozen: wanneer een systeem persoons­ge­ge­vens verwerkt, moet het de 2019 NCSC-richtlijn volgen voor TLS (dat wil zeggen Late TLS with PFS).

Bij het adopteren van Late TLS1.2 worden niet alleen man-in-the-middle-aanvallen geblok­keerd, maar raken onge­luk­ki­ger­wijs ook veel enter­prise-secu­ri­ty­sys­temen aangetast. Elk systeem dat netwerk­ver­keer ontsleu­telt om malware te detec­teren of aanvallen tegen te houden, doet vanuit technisch oogpunt een man in-the-middle-aanval. Daardoor zullen naar verwach­ting CASB, IDS, SIEM, antivirus, API-gateway en elke andere vorm van appli­ca­tion layer firewalls uitvallen. Veel mensen hebben het idee: ‘dit is een probleem voor de toekomst’. Dat heeft gezorgd voor de vertra­ging in het forma­li­seren van de TLS1.3‑standaard vorig jaar. Maar dit geldt evengoed voor Late TLS op het moment dat alleen PFS-sleutels worden gebruikt. Dat is of wordt heel binnen­kort verplicht.

Vandaar ‘cryptogeddon’

Kijkend naar de complexi­teit van het protocol en het gebrek aan kennis, zorgt uitstel voor een ramp. Voor secu­ri­ty­spe­ci­a­listen en leve­ran­ciers is het daarom tijd om aan de studie te gaan. En voor grote orga­ni­sa­ties is het goed om nu al met een fors programma te starten. We mogen weliswaar nog enkele jaren hebben voor de migratie, maar bedenk wel dat het in meer dan tien jaar niet gelukt is om te migreren naar TLS1.2.