Blog: All systems down: bereid je voor op een nieuw ‘cryptogeddon’

Door Peter Rietveld, senior consultant bij Traxion

Vond je dat Heartbleed of de DigiNotar-affaire al voor een ravage zorgden op het gebied van cybersecurity? Maak dan je borst maar nat. Want de volgende crisis staat voor de deur. En die is – net als altijd – weer erg gecompliceerd.

Peter Rietveld van Traxion

TLS, het encryptieprotocol dat eerder bekendstond onder de afkorting SSL, is wereldwijd het meest gebruikte beveiligingsmechanisme. Mede door de toegenomen aandacht voor privacy (Facebook) en security (Snowden, Huawei) is nu tot 90 procent van al het internetverkeer versleuteld en in de meeste gevallen met TLS1.2. Deze ingrijpende ontwikkeling heeft zich in slechts een paar jaar voltrokken.

Formele adoptie

Ondanks de formele adoptie van security-concepten als Zero Trust of daarvoor Jericho Manifesto, blijven bedrijfsnetwerken achterlopen. In het algemeen is het dataverkeer op een bedrijfsnetwerk niet versleuteld. En als het wel versleuteld is, gebeurt dat met TLS1.0. De komende crisis draait dan ook om deze oude encryptie die al in 2020 door browsers geblokkeerd gaat worden. Een gebruiker krijgt dan de melding ‘Toegang geweigerd’, zonder verdere toelichting. Hetzelfde geldt voor de beheerders die dit terug gaan zien in de logs.

Adoptie van de opvolger van TLS1.0, TLS1.1, is in de praktijk nooit goed van de grond gekomen. Dat betekent dat versie 1.0, die dateert uit 1999, nog steeds leidend is in veel bedrijfsnetwerken. TLS1.1 wordt volgend jaar overigens ook geblokkeerd, samen met zijn voorganger. We zien nu dat TLS1.2 pas net begint op te komen in de nieuwste versies van grote IT-omgevingen (gebouwd met producten als Oracle, SAP, WebSphere en dergelijke). In veel gevallen is een upgrade nodig van de applicatieserver, wat weer een upgrade van de Java-versie met zich meebrengt. Dat vereist op zijn beurt een refactoring van de applicatiecode. Een complexe zaak die gespecialiseerde kennis vereist en tijd en geld kost. Veel organisaties zijn daar niet op voorbereid en staan dus in hun hemd.

Ondersteuning

In oktober 2018 maakten Apple, Microsoft en Google bekend dat zij niet langer ondersteuning gaan bieden voor TLS1.1 en TLS1.0. Alle bekende browsers – Apple Safari, Google Chrome, Mozilla Firefox, Microsoft Edge en Internet Explorer – stoppen begin 2020 met de ondersteuning van TLS1.1 en TLS1.0. Zo wordt tien jaar na de officiële introductie de transitie naar TLS1.2 afgedwongen.

TLS1.2 is in de praktijk ook verplicht voor HTTP/2 en een toenemend aantal andere moderne technologieën. Het Token Binding-protocol zal de kloof dichten met bearer tokens – inclusief cookie-diefstal. Het internet wordt zo een veiliger plek dan het doorsnee bedrijfs-LAN. Thuisgebruikers draaien alle patches op moderne besturingssystemen en zijn redelijk beschermd. Bedrijven daarentegen worstelen nog met de 2005-standaarden. Zij worstelen met NTLM en SSH en vrezen het einde van de Windows 7 en Oracle 10.

Goed mis

Dit gaat goed mis: we gaan richting een ‘cryptogeddon’. Geen juiste sleutel, geen sessie. Je krijgt dan geen toegang tot het systeem. Ook kleinere features gaan door gebrek aan aandacht problemen geven op onverwachte plekken. Zo zal zelfs de nieuwste versie 2019 van Active Directory-trusts ermee stoppen. Toegegeven, dit is bekend bij Microsoft en dat zal vast met een oplossing komen. Maar er zijn veel meer voorbeelden – heel veel meer.

Hacker’s heaven

Wanneer je als organisatie na juni volgend jaar nog je oude applicatieserver wil gebruiken, dan is de logische optie dat je ook een oude browser moet gebruiken. Een bedrijf moet dan zijn medewerkers vertellen dat ze geen privéspullen kunnen gebruiken omdat het niet veilig is, terwijl ze dezelfde medewerkers dwingen om browsers uit het stenen tijdperk te gebruiken, zoals Internet Explorer 9, die draaien op nostalgische Windows 7-computers. Mobiele devices zijn evenmin te updaten – bedrijven zullen beveiligingsupdates actief moeten blokkeren. Aangezien dit alles lastig en kostbaar is qua beheer, is de meest eenvoudige en dus meest voor de hand liggende uitkomst van de overstap naar TLS1.2 het volledig uitzetten van encryptie: en dat is niks minder dan hacker’s heaven.

De introductie van TLS1.3 in de afgelopen jaren gaat nu samen met een toename van upgrades en verdient het daarom om gevolgd te worden. Veel gerelateerde technologieën zijn nu in opkomst en kunnen mogelijk een verplichte standaard worden. Token Binding, Unicode-certificaten, DNS over TLS, encrypted SNI en Certificate Transparency vragen allemaal om aandacht. Als we nu niet handelen, gaan gebruikers straks overal veiligheidswaarschuwingen tegenkomen. Dat zal voelen als een veenbrand met af en toe ergens een opgelaaid open vuur.

Perfect Forward Secrecy

We moeten hierbij bedenken dat TLS1.3 nog niet eens het grootste probleem is voor enterprise security; dat is de onderliggende transitie naar nieuwe sleutels. Deze blokkeren een man-in-the-middle-aanval met hun ‘Perfect Forward Secrecy’-mogelijkheid. Wanneer deze PFS-sleutels in TLS1.2 geactiveerd zijn, heb je volgens de PCI-DSS-standaards te maken met Late TLS. Deze sleutels zijn geen onderdeel van de originele TLS1.2-stack. In het algemeen voegen updates ze toe, maar ze enablen ze niet. De originele suite van sleutels wordt Early TLS genoemd. Om compliant te zijn moet alleen Late TLS geactiveerd zijn. De Autoriteit Persoonsgegevens, handhaver van de AVG, heeft ook deze lijn gekozen: wanneer een systeem persoonsgegevens verwerkt, moet het de 2019 NCSC-richtlijn volgen voor TLS (dat wil zeggen Late TLS with PFS).

Bij het adopteren van Late TLS1.2 worden niet alleen man-in-the-middle-aanvallen geblokkeerd, maar raken ongelukkigerwijs ook veel enterprise-securitysystemen aangetast. Elk systeem dat netwerkverkeer ontsleutelt om malware te detecteren of aanvallen tegen te houden, doet vanuit technisch oogpunt een man in-the-middle-aanval. Daardoor zullen naar verwachting CASB, IDS, SIEM, antivirus, API-gateway en elke andere vorm van application layer firewalls uitvallen. Veel mensen hebben het idee: ‘dit is een probleem voor de toekomst’. Dat heeft gezorgd voor de vertraging in het formaliseren van de TLS1.3-standaard vorig jaar. Maar dit geldt evengoed voor Late TLS op het moment dat alleen PFS-sleutels worden gebruikt. Dat is of wordt heel binnenkort verplicht.

Vandaar ‘cryptogeddon’

 

Kijkend naar de complexiteit van het protocol en het gebrek aan kennis, zorgt uitstel voor een ramp. Voor securityspecialisten en leveranciers is het daarom tijd om aan de studie te gaan. En voor grote organisaties is het goed om nu al met een fors programma te starten. We mogen weliswaar nog enkele jaren hebben voor de migratie, maar bedenk wel dat het in meer dan tien jaar niet gelukt is om te migreren naar TLS1.2.