Het (beveiligde) internet is stuk

Wat kan je zelf doen?

Op 20 september 2012 zal Axel Arnbak samen met Nico van Eijk een lezing houden op Harvard University. Hij presenteert daar zijn thesis waarin hij oplossingen onderzoekt voor de structurele zwakheden in HTTPS (HyperText Transfer Protocol Secure). HTTPS en de certificaten die daar mee gemoeid zijn leverden vorig jaar problemen op met Diginotar en de Nederlandse overheid.

Waar ging dat ook al weer over?
Op het moment dat je een betaling doet via internet of bij je bank zelf inlogt, zie je dat de url in je browser verandert naar HTTPS. Dit betekent dat je in een beveiligde omgeving terecht komt en dat de informatie die je verstuurt en ontvangt versleuteld wordt en dus niet door derden onderschept kan worden.

HTTPS is de standaard voor e-commerce, bankverkeer, en andere gevoelige informatie. Best belangrijk dus!

Om de gebruiker de zekerheid te geven dat de site daadwerkelijk veilig is, worden er door Certificaat Authoriteiten (CA’s) certificaten uitgegeven waarin de zekerheid gegeven wordt dat er gecontroleerd is dat (afhankelijk van het niveau van beveiliging):
-de informatie daadwerkelijk versleuteld wordt
-de identiteit van de organisatie achter de website gecontroleerd en gevalideerd is.

Deze certificaten worden dan weer herkent door de belangrijkste browsers (Internet Explorer, Firefox, Safari, Chrome), die dan weer aangeven dat deze websites veilig zijn om te gebruiken.

Diginotar was zo’n Certificaat Authoriteit (CA) dat deze beveiligingscertificaten leverde (onder andere voor de Nederlandse overheid; DigID). In 2011 werd ingebroken bij Diginotar waarna de inbrekers zelf (valse!) certificaten hebben uitgegeven. Meestal gebeurt dat dan voor de meest populaire websites en diensten zoals Gmail, Skype en Facebook, maar ook voor de websites van de CIA en de Mossad. De sites waarvoor deze certificaten waren uitgegeven waren dan niet echt beveiligd, of er zat een andere partij achter dan je dacht. En op deze manier kon informatie onderschept worden.

Er bestaan zo’n 600 Certificaat Authoriteiten die deze certificaten uitgeven en die vertrouwd worden door de belangrijkste browsers. En behalve dat deze CA’S dus wel eens gehacked kunnen worden, worden ze niet door overheden, maar juist door commerciele partijen opgezet. Eigenlijk kan iedereen er een opzetten.

Diginotar is inmiddels van de lijst van vertrouwde CA’s gehaald — en failliet, maar een grote Certificaat Authoriteit als bijvoorbeeld Comodo, die bijna een kwart van alle beveiligde websites van certificaten voorziet, kan je niet zo maar in de ban doen: dan werkt een groot deel van het internet niet meer. Kortom, HTTPS is lek en de beveiliging van het Internet door middel van certificaten is niet veilig genoeg.

Axel Arnbak zoekt als onderdeel van zijn Phd een oplossing voor dit probleem. In zijn Harvard lezing zal hij, door een recent wetsvoorstel van de Europese Commissie kritisch te bespreken, vooral ingaan op wat de overheid kan doen aan een verbeterde beveiliging,

Dat is niet zo maar opgelost dus. We vroegen aan Axel Arnbak: Wat kunnen bedrijven en consumenten in de tussentijd doen? Hoe weet je zeker dat je veilig je gegevens over het web verstuurt en hoe kan je als bedrijf zorgen dat je website veilig is, en dus vertrouwd wordt? Kunnen we op dit moment HTTPS uberhaupt nog wel vertrouwen?

Axel: “Consumenten kunnen de risico’s met een paar kleine ingrepen al drastisch verkleinen, de belangrijkste is: altijd direct de update van je browser en je besturingssysteem uitvoeren op het moment dat je daar om gevraagd wordt. Gebruikers van de Firefox browser kunnen daarnaast de HTTPS Everywhere en de Force TLS add-ons installeren, zo dwing je je browser om bij websites, bijvoorbeeld Facebook, alleen via HTTPS te verbinden. Maar los van deze maatregelen, blijft het HTTPS systeem zoals we dat nu kennen lek. En dat is een groot probleem voor de veiligheid van het internet.

Bedrijven moeten zich realiseren hoeveel er op het spel staat en in de nieuwe informatiewereld geld vrij maken om die informatie goed te beveiligen. Dat betekent bijvoorbeeld: niet besparen op it-security personeel en alleen certificaten kopen bij een CA die je volledig kan vertrouwen en makkelijk kunt benaderen als je met vragen zit.

Uiteindelijk hangt de benodigde beveiliging af van wat het bedrijf precies doet: voor een hosting partij is de beveiliging heel anders dan voor bijvoorbeeld eenadvocatenkantoor of een sociaal netwerk. Maar een paar generieke tips zoals die op de website an Bits Of Freedom worden gegeven zijn er natuurlijk wel.”

Meer horen over security en de huidige uitdagingen? Persoonlijke tips? Boek Axel Arnbak voor een lezing!