Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

DROWN-aanvallen zijn te voorkomen

07 maart 2016 - 14:193 minuten leestijdOpinieSecurity & Awareness
Kevin Bocek
Kevin Bocek

Security-experts hebben ontdekt dat een lek in het verouderde SSLv2-protocol voor beveiligde verbindingen te misbruiken is om encryptiesleutels te stelen. Met die sleutels kunnen cybercriminelen vervolgens andere beveiligde verbindingen hacken om de communicatie af te luisteren of op servers in te breken. Deze, zogenoemde Drown-aanvallen zijn te voorkomen met beter certificaat- en sleutelmanagement.

Heartbleed, LogJam, Freak, Superfish en nu dus ook Drown laten zien dat teveel mensen en organisaties blindelings vertrouwen op ssl/tls-certificaten en sleutels. Volgens security-experts zijn maar liefst 33 procent van alle webservers via de ontdekte Drown-kwetsbaarheid aan te vallen. Verder liggen er ongetwijfeld nog meer protocol-, encryptie- en certificaatkwetsbaarheden op de loer, die criminelen kunnen benutten. De architecten van het internet hebben namelijk onze hele online wereld gefundeerd op vertrouwen gecreëerd met digitale certificaten en cryptografische sleutels.

Man in the middle-aanvallen

Drown maakt het voor cybercriminelen mogelijk om binnen een minuut Man in the middle (mitm)-aanvallen uit te voeren op versleutelde tls-verbindingen. Op servers die met dezelfde privésleutel zowel SSLv2 als tls ondersteunen, wat bij een derde van alle webservers het geval is. Sleutels en certificaten vormen al decennia de fundering voor cybersecurity en worden om die reden meestal blindelings vertrouwd voor communicatie en e-businesstransacties. Daarom maken criminelen graag gebruik van ontdekte kwetsbaarheden in encryptiesleutels en digitale certificaten om zich in netwerkverkeer te verbergen, privileges te verkrijgen, malware te installeren, of informatie te stelen.

Ssl/tls-certificaten en -sleutels zijn veel te belangrijk om blindelings te vertrouwen. Naarmate steeds meer websites daar gebruik van gaan maken, nemen de kansen voor criminelen toe om succesvol in te breken. Daarom hebben zij een toenemende interesse in het onderscheppen van versleutelde communicatie, het vervalsen van vertrouwde websites en onzichtbaar inbreken via beveiligd verkeer. Het toenemend aantal ontdekte kwetsbaarheden en aanvallen op ssl/tls en certificaten tonen aan dat dit een hardnekkig probleem is en blijft. Voor een goede verdediging ertegen is het belangrijk dat iedereen beter gaat letten op de bescherming van het online vertrouwen.

Nieuwe sleutels en certificaten

Volgens het Ponemon Institute heeft elke door hen onderzochte organisatie de afgelopen twee jaar al te maken gehad met een aanval gericht op het misbruiken van sleutels en certificaten. Maar liefst 54 procent van hen weet zelfs niet waar alle certificaten worden gebruikt, waardoor het voorkomen van een Drown-aanval lastig is. Voor een goede bescherming is het noodzakelijk zowel de beschikbare patch te installeren als de ondersteuning van SSLv2 uit te zetten. Net als bij Heartbleed is het verder tevens nodig dat er nieuwe privésleutels en certificaten worden aangemaakt en gebruikt.

Kevin Bocek, vice president security strategy & threat intelligence van Venafi

Meer over

CertificeringCybercrimeEncryptieHackingMalwarePatch managementSSL

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    De Nieuwe Realiteit van OT Security

    Waarom kritieke systemen om een andere securityaanpak vragen

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Computable.nl

    Regelgeving en zorgplicht helpen organisaties om succesvol en veilig te zijn

    Hoe helpen regelgeving en zorgplicht organisaties om succesvol en veilig te zijn?

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Software & Development

    Businessanalyse als fundament voor duu...

    Een effectief traject begint bij het expliciet maken van businesswaarde. Die businesswaarde bestaat uit meer dan alleen functionele wensen. Het vraagt inzicht in de essentiële data, afhankelijkheden binnen processen en...

    Meer persberichten

    Meer lezen

    Cloud & Infrastructuur

    Kabinet kiest voor maximale digitale soevereiniteit

    Cloud & Infrastructuur

    ‘Ai in cloudomgevingen versnipperd en onzichtbaar voor securityteams’

    Overheid

    Kort: Nederland scoort goed op digitale overheid, or­ga­ni­sa­ties kritischer over ot-cy­ber­se­cu­ri­ty (en meer)

    shutterstock_2627527607 Evannovostro 16x9
    Overheid

    Ad­vies­col­le­ge ICT verwijt top­amb­te­na­ren slappe sturing op ict-projecten

    EDIC EU digitaal
    Data & AI

    Europarlementariërs eisen Europese ai-top: ‘Europa dreigt achterop te raken’

    Anthropic
    Data & AI

    Anthropic maakt Fable 5 weer wereldwijd toegankelijk

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs