Wouter Hoeffnagel - 18 maart 2016

95% van de HTTPS verbindingen kunnen eenvoudig worden aangevallen

Zowel Let’s Encrypt als het recentelijk geïntroduceerde ‘Encryption Everywhere’ programma van Symantec zijn bedoeld om het gebruik van het veilige HTTPS protocol op servers te vergroten. In de praktijk gaat dit echter nog vaak fout, waardoor maar liefst 95% van alle servers die gebruik maken van HTTPS toch eenvoudig aangevallen kunnen worden.

Dit stelt het beveiligingsbedrijf Netcraft op basis van eigen onderzoek. HTTPS is een veilige variant van het HTTP protocol, waarbij de verbinding tussen de server en de machine van de eindgebruiker wordt versleuteld. Dankzij deze versleuteling kunnen eventuele aanvallers die erin slagen dataverkeer te onderscheppen die verkeer niet inzien. Netcraft stelt dat veel beheerders echter verzuimen HTTP Strict Transport Security (HTST) te implementeren. HTST zorgt ervoor dat op een server uitsluitend HTTPS kan worden gebruikt. Indien een bezoeker de servers probeert te bezoeken via het HTTP protocol door bijvoorbeeld HTTP te gebruiken in de adresbalk van een webbrowser wordt toch het HTTPS protocol gebruikt en de verbinding versleuteld.

Data onderscheppen
Het ontbreken van HTST is een groot probleem, waarschuwt Netcraft. Indien HTST niet wordt gebruikt is het mogelijk een server die gebruik maakt van HTTPS toch te bezoeken met HTTP. Aanvallers kunnen gebruikers verleiden deze verbinding te gebruiken, en vervolgens data onderscheppen via een man-in-the-middle aanval. Hierbij plaatst de aanvaller zichzelf tussen de server en de machine van de eindgebruiker, en onderschept het dataverkeer tussen beide partijen. Doordat dataverkeer dat via een HTTP verbinding wordt verstuurd niet is versleuteld kan dit dataverkeer eenvoudig worden ingekeken. Aanvallers kunnen hierdoor allerlei gevoelige informatie in handen krijgen, zoals inloggegevens.

Netcraft stelt dat er voor beheerders geen reden is HTST niet te implementeren, aangezien dit geen praktische nadelen oplevert. Het bedrijf adviseert beheerders dan ook HTST te omarmen om zeker te stellen dat altijd gebruik wordt gemaakt van een HTTPS verbinding.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024