Secura: Vendoren moeten beter reageren op bevindingen security-experts

Hardware- en softwarevendoren moeten meer openstaan voor security-bedrijven en white hat-hackers en sneller patches ontwikkelen. Nog te vaak wordt er niet gereageerd als er melding wordt gemaakt van een kwetsbaarheid in een product.

Dat was donderdag de oproep van Ralph Moonen, CTO bij Secura (voorheen Madison Gurkha), tijdens het evenement Secura Black Hat Sessions. “Veel vendoren reageren niet of nauwelijks als we bij ze aankloppen als we een kwetsbaarheid hebben gevonden”, is de ervaring van Secura.

Aanleiding voor de oproep is een onderzoek dat Secura heeft gedaan naar alle SSL/TLS certificaten voor Nederlandse domeinen. Dat waren er bij elkaar ongeveer een half miljoen. “Van al die servers hebben we het publieke certificaat gedownload en onderzocht. De helft van de onderzochte certificaten was niet geldig, omdat het verlopen was of omdat het niet gesigneerd was door een CA (Certification Authority)”, vertelde Moonen.

Van de onderzichte certificaten bleek ruim 11% te bestaan uit minder dan 2048 bits, dat is de standaard waarvan die nu veilig wordt geacht. Daardoor was Secura in staat om met vrij eenvoudige hulpmiddelen 113 certificaten te kraken. Deze waren bestonden allen uit 1024 bits en de certificaten werden gebruikt door hardware van Fortinet, Cisco, Dlink en Netgear. Het zijn apparaten die in gebruik zijn bij provincies, een veiligheidregio en scholen bijvoorbeeld, aldus Moonen. Van de genoemde fabrikanten reageerde alleen Netgear, volgens de CTO. Inmiddels zijn de meeste kwetsbaarheden opgelost.

De bevindingen heeft Secura ook gemeld aan het Nationaal Cyber Security Center (NCSC). Die schaalde het risico van deze onveilige certificaten in als ‘laag’ omdat veel certificaten toch al niet meer geaccepteerd zouden worden omdat ze verlopen waren.

Als criminelen toegang hebben tot SSL/TSL certificaten kunnen ze versleutelde communicatie van een organisatie onderscheppen en lezen. Een andere mogelijkheid is dat ze zich voordoen als die organisatie (spoofing) en zo bijvoorbeeld malware verspreiden of slachtoffers oplichten.