Independent. Dynamic. Involved.
nlen

All systems – down

Door Peter Rietveld, senior security consultant bij Traxion.

Bereid je voor een nieuw ‘cryptogeddon’

 Wanneer je al vond dat Heartbleed of de Diginotar-affaire voor een ravage zorgden op het gebied van cybersecurity, maak dan je borst maar nat. Want de volgende crisis staat voor de deur. En die is – net als altijd – weer erg gecompliceerd.

TLS, het encryptieprotocol dat eerder bekend stond onder de afkorting SSL, is wereldwijd het meest gebruikte beveiligingsmechanisme. Mede door de toegenomen aandacht voor privacy (Facebook) en security (Snowden, Huawei) is nu tot 90 procent van alle internetverkeer versleuteld en in de meeste gevallen met TLS1.2. Deze ingrijpende ontwikkeling heeft zich in slechts een paar jaar afgespeeld. Ondanks de formele adoptie van securityconcepten als Zero Trust of daarvoor het Jericho Manifesto blijven bedrijfsnetwerken achterlopen. In het algemeen is het dataverkeer op een bedrijfsnetwerk niet versleuteld. En als het wel versleuteld is, gebeurt dat met TLS1.0. De komende crisis draait dan ook om deze oude encryptie die al in 2020 door browsers geblokkeerd gaat worden. Een gebruiker krijgt dan de melding ‘Toegang geweigerd’, zonder verdere toelichting. Hetzelfde geldt voor de beheerders die dit terug gaan zien in de logs.

Adoptie van de opvolger van TLS1.0, TLS1.1, is in de praktijk nooit goed van de grond gekomen. Dat betekent dat versie 1.0, die dateert uit 1999, nog steeds leidend is in veel bedrijfsnetwerken. TLS 1.1 wordt volgend jaar overigens ook geblokkeerd, samen met zijn voorganger. We zien nu dat TLS 1.2 pas net begint op te komen in de nieuwste versies van grote IT-omgevingen (gebouwd met producten als Oracle, SAP, WebSphere en dergelijke). In veel gevallen is een upgrade nodig van de applicatieserver, wat een upgrade van de Java-versie met zich meebrengt. Dat vereist op zijn beurt een refactoring van de applicatiecode. Een complexe zaak die gespecialiseerde kennis vereist en tijd en geld kost. Veel organisaties zijn daar niet op voorbereid en staan dus in hun hemd.

In oktober 2018 maakten Apple, Microsoft en Google bekend dat zij niet langer ondersteuning gaan bieden voor TLS 1.1 en TLS 1.0. Alle bekende browsers – Apple Safari, Google Chrome, Mozilla Firefox en Microsoft Edge en Internet Explorer – stoppen begin 2020 met de ondersteuning van TLS 1.1 en TLS 1.0. De transitie naar TLS1.2 wordt zo – tien jaar na de officiële introductie – afgedwongen.

TLS1.2 is in de praktijk ook verplicht voor http2 en een toenemend aantal andere moderne technologieën. Het Token Binding protocol zal de kloof dichten met bearer tokens – inclusief cookie-diefstal. Het internet wordt zo een veiliger plek dan het doorsnee bedrijfs-LAN. Thuisgebruikers draaien alle patches op moderne besturingssystemen en zijn redelijk beschermd. Bedrijven daarentegen worsten nog met de 2005-standaarden. Zij worstelen met NTLM en SSH en vrezen het einde van de Windows 7 en Oracle 10.

Dit gaat goed mis: we gaan richting een ‘cryptogeddon’. Geen juiste sleutel, geen sessie. Je hebt geen toegang tot het systeem. Ook kleinere features gaan door gebrek aan aandacht problemen geven op onverwachte plekken. Zo zal zelfs de nieuwste versie 2019 van Active Directory-trusts er mee

stoppen. Toegegeven, dit is bekend bij Microsoft en dat zal vast met een oplossing komen. Maar er zijn veel meer voorbeelden, heel veel meer.

Dit is echt heel slecht

Wanneer je als organisatie na juni volgend jaar nog je oude applicatieserver wilt gebruiken, dan is de logische optie dat je ook een oude browser moet gebruiken. Een bedrijf moet dan zijn medewerkers vertellen dat ze geen privéspullen kunnen gebruiken omdat het niet veilig is terwijl ze dezelfde medewerkers dwingen om browsers uit het stenen tijdperk te gebruiken, zoals Internet Explorer 9, die draaien op nostalgische Windows 7-computers. Mobiele devices zijn evenmin te updaten – bedrijven zullen beveiligingsupdates actief moeten blokkeren. Aangezien dit alles lastig en kostbaar is qua beheer, is de meest eenvoudige en dus meest voor de hand liggende uitkomst van de overstap naar TLS1.2 het volledig uitzetten van encryptie: En dat is niks minder dan hacker’s heaven.

Dat willen we dus ook niet

De introductie van TLS1.3 in de afgelopen jaren – met tal van inbreuken en kwetsbaarheden – gaat nu samen met een toename van upgrades en verdient daarom om gevolgd te worden. Veel gerelateerde technologieën zijn nu in opkomst kunnen mogelijk een verplichte standaard worden. Token Binding, Unicode-certificaten, DNS over TLS, encrypted SNI en Certificate Transparency vragen allemaal om aandacht. Als we nu niet handelen, gaan gebruikers straks overal veiligheidswaarschuwingen tegenkomen. Dat zal voelen als een veenbrand met af en toe ergens een opgelaaid open vuur.

We moeten hierbij bedenken dat TLS1.3 nog niet eens het grootste issue is voor enterprise security – dat is de onderliggende transitie naar nieuwe sleutels . Deze blokkeren een man-in-the-middle aanval met hun ‘Perfect Forward Secrecy’-mogelijkheid. Wanneer deze ‘PFS’-sleutels in TLS 1.2 geactiveerd zijn, heb je volgens de PCI-DSS-standaards te maken met ‘Late TLS’. Deze sleutels zijn geen onderdeel van de originele TLS1.2 stack. In het algemeen voegen updates ze toe, maar ze enablen ze niet. De originele suite van sleutels wordt Early TLS genoemd. Om compliant te zijn moet alleen Late TLS geactiveerd zijn. De Autoriteit Persoonsgegevens, handhaver van de AVG, heeft ook deze lijn gekozen: wanneer een systeem persoonsgegevens verwerkt, moet het de 2019 NCSC-richtlijn volgen voor TLS (dat wil zeggen Late TLS with PFS).

Bij het adopteren van Late TLS 1.2 worden niet alleen man-in-the-middle-aanvallen geblokkeerd maar raken ongelukkigerwijs ook veel enterprise-securitysystemen aangetast. Elk systeem, dat netwerkverkeer ontsleutelt om malware te detecteren of aanvallen tegen te houden doet vanuit technisch oogpunt een man in-the-middle-aanval. Daardoor zullen naar verwachting CASB, IDS, SIEM, antivirus, API gateway en elke andere vorm van application layer firewalls uitvallen. Veel mensen hebben het idee: ‘dit is een probleem voor de toekomst’. Dat heeft gezorgd voor de vertraging in het formaliseren van de TLS1.3 standaard vorig jaar. Maar dit geldt evengoed voor Late TLS op het moment dat alleen PFS-sleutels worden gebruikt. Dat is of wordt heel binnenkort verplicht.

Vandaar ‘cryptogeddon’

Kijkend naar de complexiteit van het protocol en het gebrek aan kennis, zorgt uitstel voor een ramp. Voor securityspecialisten en leveranciers is het tijd om aan de studie te gaan. En voor grote organisaties is het goed om nu al met een fors programma te starten. We mogen weliswaar nog enkele jaren hebben voor de migratie, maar bedenk wel dat het in meer dan tien jaar niet gelukt is om te migreren naar TLS1.2.

[1] https://www.thesslstore.com/blog/apple-microsoft-google-disable-tls-1-0-tls-1-1/

[2] https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls

Dit blog is gepubliceerd op https://computerworld.nl/security/111555-nieuwe-versies-van-encryptie-zetten-je-bedrijfsnetwerk-in-zijn-hemd