'Certificaatautoriteiten besteden te weinig aandacht aan mogelijk misbruik van uitgegeven SSL-certificaten'

Certificaatautoriteiten (CA’s) hebben in een maand tijd honderden SSL-certificaten uitgegeven voor valse domeinnamen die worden gebruikt in phishingaanvallen. Door de SSL-certificaten worden de phishingwebsites voorzien van een slotje voor de URL in de adresbalk, waar veel gebruikers opletten om te controleren om een website veilig is. Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi, stelt dat CA’s te weinig nadenken over mogelijk misbruik van certificaten die zij uitgeven.

Netcraft meldt dat aanvallers  certificaten hebben weten te bemachtigen voor allerlei valse domeinnamen. Denk hierbij aan banskamerica.com, itunes-security.net, pay-pal.co.com, paypwil.com en ssl-paypai-inc.com. Vooral Universal SSL, een dienst waarmee CloudFlare in samenwerking met Comodo SSL-certificaten gratis verstrekt aan klanten, is populair bij aanvallers. Ruim 40% van de valse certificaten is volgens Netcraft afkomstig van CloudFlare.

Te weinig aandacht voor misbruik

Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi, stelt in een reactie dat CA’s te weinig nadenken over mogelijk misbruik met certificaten die zij uitgegeven. “Het feit dat CA’s de ontdekte certificaten hebben uitgegeven zonder voldoende na te denken over het potentiële misbruik ervan is onacceptabel, maar gebeurt helaas steeds vaker. Wij zien dat vooral de zogenaamde gratis CA-aanbieders eenvoudige doelwitten zijn voor cybercriminelen. Dat is een slechte ontwikkeling voor zowel het bedrijfsleven als consumenten”, zegt Bocek.

“Mensen die een gesloten hangslotje zien, gaan er begrijpelijk vanuit dat de betreffende website te vertrouwen is. Daarom gebruiken hackers dat onterechte gevoel van veiligheid in toenemende mate tegen ons, wat een zorgwekkende ontwikkeling is. De enige reden waarom we online kunnen winkelen en informatie delen, is namelijk het vertrouwen gebaseerd op die bekende beveiliging. Alleen wie kunt u nog vertrouwen als ze erin slagen om het vertrouwenssysteem te misbruiken? De gevolgen voor bedrijven en de economie als mensen hun vertrouwen in de beveiliging van online services verliezen kunnen catastrofaal zijn.”

‘Ook bedrijven moeten zich zorgen maken’

“Niet alleen consumenten moeten zich zorgen maken over genoemde ontwikkeling, maar ook alle bedrijven die online opereren, zoals banken, retailers en verzekeraars. Er zijn momenteel zo’n 200 CA’s actief, die allemaal hetzelfde vertrouwen genieten. In werkelijkheid zijn er echter grote verschillen in de manier waarop zij misbruik proberen te voorkomen, met beveiligingsmiddelen en –controles. Zoals het bekende DigiNotar-voorbeeld. Bedrijven kunnen niet vaststellen welke CA’s beter of slechter zijn, terwijl ze toch worden blootgesteld aan een groot risico dat onvoldoende onder controle is. Ze staan machteloos om zichzelf voldoende te beschermen omdat certificaten uit hun naam worden uitgegeven, zonder er grip op hebben. Daarom is zowel certificatenreputatie als het onderscheiden van goede en slechte belangrijk.”

Bocek: “Naarmate meer hackers de eenvoudig te benutten kansen zien om sleutels en certificaten te misbruiken, krijgen we met meer pogingen te maken om consumenten en bedrijven te misleiden. Daarom is er een immuunsysteem voor het Internet nodig, dat vertelt wat goed en slechts is en of een certificaat door een vertrouwde organisatie of crimineel wordt gebruikt. Zo’n systeem is dan de laatste verdedigingslinie tegen systemen of vertrouwensmiddelen die zijn aangetast. Intel voorspelt dat de volgende grote hackersmarkt de plaatsen worden waar men gestolen certificaten verhandeld. Als die ondergrondse markt groeit wordt zo’n immuunsysteem een kritische bescherming voor de digitale economie.”