Beveiligingswaarschuwingswaarschuwingen werken niet, onderzoekers zeggen

Elke websurfer heeft ze gezien. Die "ongeldige certificaat" -waarschuwingen die u soms krijgt als u een beveiligde website probeert te bezoeken.

Er worden dingen gezegd als "Er is een probleem met het beveiligingscertificaat van deze website." Als je bent zoals de meeste mensen, voel je je misschien wat ongemakkelijk, en - volgens een nieuw artikel van onderzoekers van de Carnegie Mellon University - is de kans groot dat je de waarschuwing negeert en toch doorklikt.

In een laboratoriumexperiment, vonden onderzoekers dat tussen 55 procent en 100 procent van de deelnemers waarschuwingen over certificaatbeveiliging negeerden, afhankelijk van de browser die ze gebruikten (verschillende browsers gebruiken verschillende talen om hun gebruikers te waarschuwen).

[Meer informatie: Hoe malware van te verwijderen uw Windows-pc]

"Iedereen wist dat er een probleem was met deze waarschuwingen", zegt Joshua Sunshine, een student van Carnegie Mellon en een van de co-auteurs van de paper. "Onze studie toonde dramatisch hoe groot het probleem was."

Dat is geen goed nieuws. Vaak verschijnen de waarschuwingen vanwege een technisch probleem op de website, maar ze kunnen ook betekenen dat de websurfer op een of andere manier wordt omgeleid naar een nep-website. URL's voor beveiligde websites beginnen met "https."

De onderzoekers voerden eerst een online-enquête uit bij meer dan 400 internetsurfers om te ontdekken wat zij dachten over certificaatwaarschuwingen. Vervolgens brachten ze 100 mensen naar een lab en bestudeerden ze hoe ze over het web surfen. Ze ontdekten dat mensen vaak een verkeerd begrip hadden van certificaatwaarschuwingen. Velen dachten bijvoorbeeld dat ze de berichten konden negeren bij het bezoeken van een site die ze vertrouwen, maar dat ze meer op hun hoede moeten zijn bij minder betrouwbare sites.

"Dat is een soort achterlijk begrip van wat deze berichten betekenen," zei Sunshine. "Het bericht valideert dat u de site bezoekt die u denkt te bezoeken, niet dat de site betrouwbaar is."

Als een bankwebsite een bericht toont dat het beveiligingscertificaat ongeldig is, is dat een zeer slecht teken, zeggen beveiligingsdeskundigen. Het kan betekenen dat de internetsurfer wordt onderworpen aan een zogenaamde man-in-the-middle-aanval. Bij dit soort aanvallen plaatst de crimineel zich tussen de internetsurfer en de site die hij bezoekt, in de hoop informatie te stelen. Deskundigen weten al lang dat deze beveiligingswaarschuwingen niet werken, zei Jeremiah Grossman, chief technology officer bij Webbeveiligingsadviesbureau White Hat Security. Dat komt omdat gebruikers "echt niet weten wat de beveiligingsrisico's betekenen", zei hij via een chatbericht. "Dus ze nemen de gok."

In de Firefox 3-browser probeerde Mozilla eenvoudigere taal en betere waarschuwingen voor slechte certificaten te gebruiken. En de browser maakt het moeilijker om een ​​slechte certificaatwaarschuwing te negeren. In het Carnegie Mellon-lab waren Firefox 3-gebruikers het minst geneigd om door te klikken nadat ze een waarschuwing hadden gekregen.

De onderzoekers experimenteerden met verschillende herontworpen beveiligingswaarschuwingen die ze zelf hadden geschreven en die nog effectiever leken. Ze zijn van plan om hun bevindingen op 14 augustus te melden op het Usenix Security Symposium in Montreal. Toch gelooft Sunshine dat betere waarschuwingen slechts zo veel kunnen helpen. In plaats van waarschuwingen moeten browsers systemen gebruiken die de foutmeldingen kunnen analyseren. "Als die systemen besluiten dat dit waarschijnlijk een aanval is, moeten ze de gebruiker gewoonweg blokkeren", zei hij.

Zelfs bij het bezoeken van belangrijke websites zoals banken, "negeren mensen de waarschuwingen nog steeds dramatisch", zei hij.