De aanwezigheid van ongebruikte oude software in Windows zorgt er voor dat de kans groot is dat uw verbindingen met webmail, webportals of mailservers niet goed beveiligd zijn. Het betreft een kwetsbaarheid voor de zogenaamde DROWN Attack die deze maand is ontdekt. Zelfs telegraaf.nl en yahoo.com blijken kwetsbaar. Niets nieuws onder de zon, helaas. De vraag is wel: wie zorgt ervoor dat uw servers geüpdatet worden?
Windows is zonder aanpassing kwetsbaar
Zonder de nodige aanpassingen zijn Windows-servers standaard niet goed beveiligd. Om te begrijpen hoe de aanval werkt moet u weten dat bij data-versleuteling altijd twee sleutels worden gebruikt: een openbare sleutel en een privé sleutel. De bezoeker krijgt een openbare sleutel en de server heeft zelf de privé sleutel. Alleen met die twee sleutels samen kan de verbinding worden ontsleuteld.
De aanval maakt handig gebruik van het feit dat de privé sleutel altijd hetzelfde is, ongeacht het type versleuteling. Tot op heden dacht men dat het niet erg was dat minder veilige protocollen (het gaat hier om het SSL-protocol) aanwezig zijn op servers omdat die toch door geen enkele moderne bezoeker worden gebruikt. Maar wanneer het lukt om de onveilige encryptie te kraken, kan met die die privé sleutel daarna de moderne encryptie (TLS) worden ontcijferd.
Om te voorkomen dat de privé sleutel van uw server gekraakt wordt moet u dus het oude versleutelings-protocol SSL, dat toch al niet meer gebruikt wordt maar nog wel actief is, uitschakelen.
Wie updatet uw servers?
Het vervelende is dat dit probleem niet wordt opgelost door het simpelweg installeren van updates. Waar je normaal gesproken redelijk veilig bent wanneer je automatisch alle updates laat installeren, vraagt dit probleem om een aanpassing van instellingen en de vraag is wie dat voor u doet?
Als leverancier van web-applicaties beschouw ik de beveiliging van de onderliggende servers als een taak van de systeembeheerder. De systeem- beheerders zullen het echter al snel zien als een taak van de leverancier van de applicatie.
In dit specifieke geval wordt er behoorlijk wat aandacht besteed aan het probleem, dus er is een redelijke kans dat het zowel op de radar van de beheerder als de applicatie-leverancier verschijnt, maar dit soort kwetsbaarheden zijn aan de orde van de dag en de risico's worden steeds groter (zie ook Wet Bescherming Persoonsgegevens 2016). Wie volgt al dit nieuws en wie houdt bij waar software geïnstalleerd is die kwetsbaar is? Wellicht een goede vraag om de IT-agenda te zetten.
Testen of uw applicaties veilig zijn
Als u wilt weten hoe het met de beveiliging van uw domein gesteld is, kunt u hier testen of uw applicatie kwetsbaar is voor een specifieke DROWN aanval gebaseerd op het oude SSLv2 protocol: https://test.drownattack.com/
Hier kunt u testen wat de algehele status is van de encryptie op uw servers:
(tip: klik aan Do not show the results on the boards zodat uw testresultaten geheim blijven)