Beheer

Security
beveiliging

'Vrijwel alle VPN's zijn hopeloos onveilig'

© Shutterstock
29 februari 2016
De beveiliging van 90 procent van de SSL VPN's is verouderd of op andere manier niet op orde, blijkt uit een onderzoek van High-Tech Bridge (HTB). Deze VPN's vormen een groot risico voor de vertrouwelijkheid van bedrijfsdata.

Het onderzoekbureau scande ruimde 10.000 willekeurig gekozen VPN's die vanaf internet benaderbaar zijn. De VPN's waren opgezet met apparatuur van verschillende leveranciers, schrijft The Register

Het meest in het oog springende probleem was dat meer dan drie kwart van de VPNs het inmiddels niet meer ondersteunde SSLv3 protocol gebruiken. Sommigen gebruikten zelfs nog SSLv2. Daarbij komt nog dat ook meer dan 75 procent een certificaat gebruikt dat niet vertrouwd is. Dat biedt hackers de mogelijkheid een man-in-the-middle op te zetten en zo het gegevensverkeer af te luisteren. Het gebruik van deze onveilige certificaten is te wijten aan luiheid en onwetendheid bij de installatie: het gebruikte certificaat is de default door de leverancier aangebrachte beveiligingscode.

Heartbleed is nog vol op aanwezig

Verder heeft 74 procent van de certificaten een SHA-1-ondertekening die al geruime tijd als onveilig wordt beschouwd en vanaf 1 januari 2017 door de meeste browsers zelfs niet meer wordt geaccepteerd.
De encryptie die 41 procent van de VPN's aanbrengt op het verkeer komt tot stand met behulp van een 1024-bits sleutel. De minimale sleutellengte voor een veilige encryptie is al geruime tijd 2048 bits.
Ook vonden onderzoekers dat nog 10 procent van de VPN's kwetsbaar waren voor Heartbleed door het gebruik va een ongepatchte versie van het OpenSSL-protocol.

Het beveiligingsbedrijf HTB heeft een website waarop iedereen de beveiliging van zijn VPN kan testen.

 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.