fbpx

Pas op voor SSL Hijacking! (Deel 2)

In deel 1 van de blog over SSL Hijacking heb ik geprobeerd uit te leggen hoe SSL werkt en hoe een hacker een SSL Hijacking aanval kan plegen. In dit deel zal ik wat meer inzicht geven op de werkwijze van een hacker en hoe je jezelf kan beschermen tegen SSL Hijacking aanvallen.

Door: Timon van Rooijen

Hoe gaat een hacker te werk?

ResultaatGroep_blog_ssl_hijacking_deel2-phasesHackers volgen over het algemeen een aantal fases bij het uitvoeren van een hack in een systeem.

Deze fases worden in de security wereld de “5 stages of ethical hacking” genoemd en zijn weergegeven in de diagram hiernaast.

De SSL Hijacking aanval vindt volgens de diagram plaats in de eerste fase. Tijdens deze fase ligt de focus van een hacker met name op het inzicht krijgen in (het netwerk van) een doelwit om zo een beeld te krijgen van het gedrag van het potentiële slachtoffer. Wachtwoorden welke worden gebruikt om in te loggen in bijvoorbeeld web mail, Facebook, Twitter, Dropbox, iCloud: alles komt hier voorbij en wordt verzameld. De verzamelde informatie wordt in een latere fase gebruikt om toegang te verkrijgen tot de systemen, of in de laatste fase om bewijslast weg te sluizen naar een andere gebruiker of systeem.

Erg gevaarlijk dus als je je bedenkt dat er soms maanden, of zelfs jaren tussen de uitvoering van bovenstaande fases kan zitten. Nadat een aanval succesvol is uitgevoerd, is het lastig te achterhalen hoe een hacker in het verleden achter alle informatie is gekomen.

Wat is er tegen te doen?

Maar hoe kun je jezelf nu beschermen tegen dit soort aanvallen? Zoals er in deel 1 van de blog is beschreven, is er vanaf de kant van de webserver niet te ontdekken dat de sessie met de client niet beveiligd is. De webserver heeft immers een volledige SSL sessie opgezet met een client en het maakt daarin voor de server helemaal niet uit wie die client is. Dat mag een volwaardige computer zijn, een tablet, een smartphone of zelfs een smartwatch. In het geval van SSL Hijacking is de client geen gebruiker, maar een “relay”. Een doorgeefluik dus welke lastig te detecteren is. Maar er zijn wel degelijk een aantal eenvoudig te realiseren oplossingen en tips om te voorkomen dat je getroffen wordt door dit soort aanvallen. Denk maar eens aan de volgende zaken:

Let er te allen tijde op dat een beveiligde verbinding ook daadwerkelijk beveiligd is.

Een SSL Hijacking aanval stript SSL uit uw verbinding. Het ontbreken van SSL is ook zichtbaar in je webbrowser.  Je kunt bijvoorbeeld zelf de volgende eenvoudige check uitvoeren: De naam van de partij met wie je communiceert komt vaak in een groene balk in Internet Explorer te staan. In de onderstaande afbeelding is dit dus “Rabobank Nederland”. Maak er een goede gewoonte van om dit ook altijd te controleren.

ResultaatGroep_blog_ssl_hijacking-image_inetbanking

 

Implementeer client-side validatie voor toepassingen waarbij er gevoelige informatie wordt uitgewisseld.

Waarbij normaal gesproken de client het door de webserver uitgegeven certificaat valideert, kan dit ook andersom gebeuren. De client presenteert een certificaat welke door de server gecontroleerd moet worden, voordat een beveiligde verbinding wordt opgezet. Dit is natuurlijk niet in alle scenario’s eenvoudig te implementeren en het introduceert bovendien een nieuw risico, omdat de aanvaller ook over een dergelijke client certificaat kan beschikken. Client-side validatie wordt tegenwoordig steeds vaker vereist bij het implementeren van Business-to-Business koppelingen, welke over een publieke Internet lijn zijn opgebouwd.

Houd uw corporate netwerk veilig.

De meeste aanvallen vinden van binnenuit de eigen organisatie plaats. Een doordachte security policy, met bijvoorbeeld de implementatie van een Intrusion Detection System (IDS) en de toewijding van een ervaren Security Officer, verkleint de kans op infiltratie aanzienlijk.

ResultaatGroep_blog-ssl_hijacking_cartoon

De genoemde oplossingen liggen misschien erg voor de hand, maar een hacker heeft vaak aan een klein lek al voldoende. Een actief beveiligingsbeleid binnen je organisatie, waarbij op regelmatige wijze wordt gemonitord op ongewenst verkeer of ongewenste systemen, zorgt voor een hoge mate van inzicht in je infrastructuur. Hierdoor kan de kans dat een aanval als deze slaagt tot een minimum gereduceerd worden.

Krijg grip op het beveiligingsbeleid binnen uw organisatie!

ResultaatGroep heeft een ICT-Security unit die zich specifiek richt op security-vraagstukken en -oplossingen. Als je wilt weten hoe je binnen je eigen organisatie grip krijgt en houdt op het beveiligingsbeleid, dan kun je direct contact opnemen met ResultaatGroep ICT Security.