De Britse University of Surrey en de Amerikaanse Georgia State University keken naar aanbiedingen van SSL/TLS-certificaten op darkwebsites die werden gehost via Tor, Freenet en I2P. Na het lezen van het rapport 'SSL/TLS Certificates and Their Prevalence on the Dark Web' hadden we nog enkele vragen en spraken we met Kevin Bocek, die onder meer bekend is van zijn onderzoek naar de encryptiemethodes en certificaten die Edward Snowden gebruikte toen hij data meenam van de NSA. Hij werkt ook voor beveiligingsbedrijf Venafi, dat het onderzoek liet uitvoeren.

Het gaat hier niet om gestolen certificaten, maar om criminelen die een nepbedrijf opzetten in naam van de dark web-klant om officiële certificaten te verbinden aan hun neporganisatie. Die worden vervolgens doorverkocht aan de klant, een andere crimineel dus, die deze gebruikt om het begeerde groene balkje in de adresbalk van een browser weer te geven. Deze balken geven weer dat je te maken hebt met een versleutelde verbinding - hoewel dat bij sommige browsers als Chrome verdwijnt.

Groeimarkt voor criminelen

Een reden dat deze markt zo groeit is omdat je voorheen uit de voeten kon met een 'gewone' HTTP-website om malafide activiteiten uit te voeren. Maar sinds browsers, met Google's Chrome voorop, websites die geen HTTPS voeren steeds meer zijn gaan behandelen als onbetrouwbaar - compleet met waarschuwingen richting gebruiker - is het aanbieden van legitieme content via HTTP geen optie meer. Laat staan dat je malafide content kunt afleveren op een site die schreeuwt: "schimmig!" Sinds afgelopen zomer geeft Chrome een 'Niet veilig' voor een HTTP-adres en bij een versleutelde site zie je in plaats daarvan een slotje.

Voor veel gebruikers betekent een slotje of groene balk dat ze te maken hebben met een veilige site. Maar het betekent alleen dat de verbinding versleuteld is, niet per se dat de site die je bezoekt betrouwbaar is. Vandaar het advies om ook het domein te bekijken om zeker te weten dat je je bankgegevens niet invult bij een nagebouwde portal op een ander domein. Want uiteindelijk geldt voor HTTPS het volgende:

HTTPS & SSL doesn't mean "trust this." It means "this is private." You may be having a private conversation with Satan. — Scott Hanselman (@shanselman)4 April 2012

Dat betekent niet dat SSL geen nut heeft, zo vertelt Kevin Bocek. "Het systeem bevestigt de identiteit van een machine en daaraan verbonden kun je een bepaalde mate van vertrouwen koppelen. Het is vervolgens aan de gebruiker om te kijken hoe ver je daarin gaat: is dit een blind vertrouwen, of vereist dit meer validatie?"

Crimineel ≠ hacker

Een vraag die menig lezer wellicht zal hebben is: waarom zouden criminelen betalen voor zulke 'dienstverlening' en niet zelf aan de slag gaan met iets als Certbot, waarmee je, helemaal gratis, certificaten kunt verkrijgen en koppelen? "De darkwebdienst is gericht op aanvallers die op dit gebied niet zo slim zijn", legt de beveiligingsdeskundige uit. "Certbot werkt ook en je hoeft niet heel veel te kunnen om een certificaat te krijgen, maar een beetje technische kennis heb je wel nodig. Niet alle online criminelen zijn hackers."

Meer dan certificaten alleen

Er zijn ook darkwebcriminelen die het niet bij certificaten houden, maar hele webshops aanbieden, compleet met TLS-certificaat en zelfs code signing. "Slachtoffers bezoeken daardoor een vertrouwde site en de malware die ze downloaden wordt ook als vertrouwd aangemerkt", merkt Bocek op.

Deze criminelen bouwen webwinkels, compleet met responsive design, grafische ontwerp en zaken als een module die voldoet aan de voorwaarden van betaalprovider Stripe (zie voorbeeld hieronder), en dus een vertrouwd domein. Het is daarmee duidelijk dat deze aanbieders zich richten op criminelen met te weinig technische vaardigheden om zelf zoiets op te zetten. Het is een complete one-stop shop.

Bron: SSL/TLS Certificates and Their Prevalence on the Dark Web

Hoe te bestrijden

Het beveiligen tegen deze tactieken is niet zo simpel als met gestolen certificaten. Bij de diefstal van bijvoorbeeld Diginotar-certificaten, werden rootcerts als onbetrouwbaar aangemerkt en ingetrokken. Het gevolg daarvan is dat browsers de SSL-verbinding niet kunnen opzetten en gebruikers melden dat de site niet vertrouwd is. "De CA's doen hun werk goed, er is niets mis met het beleid", zegt Bocek. Maar het is goed om zicht te hebben op wat er precies gebeurt met de handel in dergelijke certificaten. Vandaar dit onderzoek.

Een verdediging tegen dit soort praktijken komt ook meer uit de hoek van telecomproviders. Die houden volgens de beveiligingsdeskundige een oogje in het zeil. Maar omdat er veel onder de radar blijft, is het aan bedrijven die zelf domeinen hebben om certificaten als potentieel malafide tools te zien, aldus Bocek. "Het goede nieuws is dat we steeds betere intelligence hebben over deze praktijken."

De universiteiten en het beveiligingsbedrijf werken dan ook aan meer onderzoek naar deze praktijken. "Dit rapport gaat er vooral om dat we laten zien wat er allemaal gebeurt. Hierna graven we dieper om te begrijpen waarom dit wordt aangeboden." Dit is dan ook het eerste onderzoek van in totaal drie rapporten en trajecten. Hij verwacht binnen een half jaar dieper gravend onderzoek te kunnen publiceren.