Klientskydd vs. dekryptering: Tips för säker SSL-trafik

De som attackerar använder populära tredjeparters tjänster för att hjälpa dom stjäla data, men så här kan du stoppa dom.

Författare: Christer Spörndly
Datum: 09.03.2016
Lästid: 4 Minuter

Kryptering är en väsentlig del för att säkra internet kommunikation. Det är därför det har blivit mer vanligt använt på webbsidor och internettjänster. Men kryptering är ett tve-eggat svärd. Fråga vem som helst som fått sin dator eller enhet låst via en utpressningstrojan (Ransomware). Att inte kunna dekryptera information, speciellt när du rimligt borde ha tillgång till det, försätter dig i ett stort underläge.

F-secures forskare Artturi Lehtiö dök in i det här ämnet nyligen på Virus Bulletin’s VB2015 konferens (du kan se hans tillhörande rapport här) om hur de som attackerar använder tredjeparts-tjänster som c&c infrastruktur (command and control) för sina attacker. Många populära tredjeparts-tjänster (exempelvis Twitter) använder SSL kryptering för att skydda trafiken som går i deras nät. Vilket är vad alla ansvarsfulla tjänsteleverantörer gör.

Lehtiös forskning lyfter en olycklig sidoeffekt denna säkerhetsteknik har för företag. I huvudsak hindrar det flera säkerhetsverktyg (som brandväggar) från att kunna inspektera och filtrera eventuell skadlig och oönskad trafik. De som attackerar använder helt enkelt lagret av SSL kryptering för att dölja sina attacker.

”Om jag vore tvungen att säga det kortfattat, skulle jag säga att de som attackerar använder särskilda tredjeparts-tjänster för att kunna komma under radarn av företags säkerhet.”, säger Lehtiö i ett skrivet uttalande. ”Flera internettjänster använder kryptering för att hejda och stoppa information från att bli stulen när det flyttas, men baksidan är att dessa hindrar säkerhetsåtgärder som brandväggar från att kunna identifiera skadlig trafik. Det är en stor utmaning för företag, och min forskning visar att attackerare som The Dukes utnyttjar den här fördelen i sina attacker.”

Lehtiös rapport dokumenterar tillfällen när The Dukes hade möjlighet att använda Twitter för att koordinera en spridning av ett sabotageprogram, och Microsoft OneDrive för att extraktera stulen data från sina mål. Händelser som dessa visar tydligt hur en åtgärd för att få en säkerhetsfördel som att slå på SSL kryptering kan vändas till ett hot.

Så hur kan företag komma runt att inspektera SLL trafik för att hindra de som attackerar från att använda tredje parters tjänster som resurser i deras attacker? F-secures virusforskare Jarno Niemelä har ett par råd att ge.

”Organisationer som använder dekryptering av utgående trafik behöver vara väldigt försiktiga när dom väljer lösning för dekryptering” säger Niemelä. ”För att kunna dekryptera utgående trafik behöver dekrypteringslösningen implementera en mellanhand. I grunden betyder det att alla klienter behöver ett CA-certifikat (CA – certificate authority) som kan användas för att generera mellanhands certifikat för vilken tjänst som helst.”

Det enklaste sättet att göra detta för en speciell leverantör är att utfärda ett master CA-certifikat för alla enheter eller programvaror som de säljer. Olyckligtvis är detta också det mest farliga för företag då alla som kan rekonstruera enheten eller programvaran kommer att komma åt nyckeln och kunna komma åt allt genom den programvaran eller enheten. Så Niemelä säger att den här varianten ej borde tillämpas av någon organisation.

Niemelä säger att ett bättre sätt att göra det är att generera ett unikt certifikat per organisation. Det betyder att den som attackerar måste attackera en specifik organisation för att kunna komma igenom krypteringen (i motsats till vilken programvara eller enhet från en leverantör), vilket betyder att en organisation kan utöva ett större inflytande över deras säkerhet. ”Det är ett bättre angreppssätt, men dekrypteringsnycklarna måste bevakas som Fort Knox och det kan skapa fler problem än det löser” säger Niemelä.

Hur som helst, likt många andra utmaningar inom cyber-säkerhet, handlar den mest effektiva lösningen om att koncentrera klienterna. Att generera unika certifikat för varje enhet som behöver det skulle skydda varje organisation från att blotta deras hela nätverk vid händelsen från att en viss enhet är äventyrad. ”Det här angreppssättet säkerställer att det enda sättet att missbruka dekrypterings privilegier utställda av certifikatet kräver att enheten blottas i dess helhet, i vilket fall är trafik-dekrypteringen en omtvistad punkt.” säger Niemelä.

Vidare , prioritering av klientskydd kan helt eliminera behovet av dekrypterad utgående SLL trafik. Som ett pålitligt skydd för klienter kommer det att upptäcka virusattacker som försöker att köra sabotageprogram genom SSL-krypterad-trafik genom tredjeparts-tjänster. Synlighet åt både klienter och nätverk ger ofta IT administratörer resurserna dom behöver för att eliminera attackerna.

”Det räcker ofta att se att klienterna beter sig annorlunda som att dom laddar upp stora mängder dokument till en tredjeparts tjänst som inte används för företags backuper.” säger Niemelä. ”Du behöver inte dekryptera något för att kunna se det genom att du enbart kan se det från trafikvolymen genererad av en klient, så det är en bra möjlighet för företag att som inte vill riskera att slarva runt med kryptering.”


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s