'Vrijwel alle VPN's zijn hopeloos onveilig'
Het meest in het oog springende probleem was dat meer dan drie kwart van de VPNs het inmiddels niet meer ondersteunde SSLv3 protocol gebruiken. Sommigen gebruikten zelfs nog SSLv2. Daarbij komt nog dat ook meer dan 75 procent een certificaat gebruikt dat niet vertrouwd is. Dat biedt hackers de mogelijkheid een man-in-the-middle op te zetten en zo het gegevensverkeer af te luisteren. Het gebruik van deze onveilige certificaten is te wijten aan luiheid en onwetendheid bij de installatie: het gebruikte certificaat is de default door de leverancier aangebrachte beveiligingscode.
Heartbleed is nog vol op aanwezig
Verder heeft 74 procent van de certificaten een SHA-1-ondertekening die al geruime tijd als onveilig wordt beschouwd en vanaf 1 januari 2017 door de meeste browsers zelfs niet meer wordt geaccepteerd.
De encryptie die 41 procent van de VPN's aanbrengt op het verkeer komt tot stand met behulp van een 1024-bits sleutel. De minimale sleutellengte voor een veilige encryptie is al geruime tijd 2048 bits.
Ook vonden onderzoekers dat nog 10 procent van de VPN's kwetsbaar waren voor Heartbleed door het gebruik va een ongepatchte versie van het OpenSSL-protocol.
Het beveiligingsbedrijf HTB heeft een website waarop iedereen de beveiliging van zijn VPN kan testen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee