SSL-beveiliging niet veilig

//SSL-beveiliging niet veilig

SSL-beveiliging niet veilig

SSL-sitebeveiliging opnieuw niet veilig

SSL sitebeveiliging opnieuw niet veilig

SSL-sitebeveiliging opnieuw niet veilig

Het prefix ‘https’ voor een webadres staat niet langer garant voor een beveiligde verbinding. Hackers kunnen de achterliggende SSL-beveiliging omzeilen en bijvoorbeeld wachtwoorden afluisteren. Een hacker op de beveiligingsconferentie Black Hat in Washington heeft een techniek gedemonstreerd om de SSL-beveiliging van een website te omzeilen. De tool, SSLstrip genoemd, nestelt zich tussen server en gebruiker. Hij laat surfer en server denken dat er wel een veilige verbinding is. Dat meldt de technologiesite The Register.

SSL is een beveiligingstechnologie die verhindert dat creditcardgegevens en wachtwoorden ‘afgeluisterd’ worden. Eind 2008 lag SSL al eens onder vuur als beveiligingstechniek, omdat veiligheidscertificaten eenvoudig te klonen zijn.

De man ertussen: SSLstrip is een man-in-the-middle-aanval. Een surfer die een webadres ingeeft, gaat meestal naar het adres dat begint met http. Daarna klikt hij door naar een https-site, wat betekent dat er een beveiligde verbinding wordt opgezet. Op dat ogenblik komt de hacker ertussen. De surfer verbindt met de hacker, die op zijn beurt met de server verbinding maakt. Zowel surfer als server gelooft dat er een beveiligde verbinding ontstaat.

SSLstrip is listig omdat het een proxy met een geldig SSL-certificaat in het lokaal netwerk gebruikt. Daardoor blijft er in de adresbalk van de browser een https-adres zichtbaar. De gebruiker denkt dus dat hij met een beveiligde verbinding werkt, terwijl de hacker wel degelijk het verkeer kan afluisteren. De techniek met SSLstrip werkt bij Firefox en Safari, maar is nog niet getest bij Internet Explorer. In theorie is die laatste ook kwetsbaar.

Volgens Moxie Marlinspike, de hacker die SSLstrip demonstreerde, is er geen oplossing voorhanden. Het enige wat een surfer nu kan doen om zich te beveiligen, is het rechtstreekse https-webadres intikken. Zo kan SSLstrip er niet tussen komen.

Ber|Art WordPress SEO Domein Magento Typo3 Google VPS Cloud Hosting Design at Ber|Art

Catergoriën: Cloud Computing, Domeinen, Google nieuws, Google seo, Hosting nieuws, Internet,
Magento, Overige, Security, seo, Webdesign, Webhosting, WordPress

Andere Weblogs: WordPress Host, Webwinkel Host, WPMU, European Cloud Computing

Door | 2016-11-01T18:07:35+00:00 13 maart 2012|Categorieën: security|Tags: , , |

Eén reactie

  1. Berrie Pelser 24 februari 2009 om 16:48

    Het beveiligingsgat in SSL kan nu actief misbruikt worden. De ontdekker heeft zijn exploittool vrijgegeven.

    De hacker die een nieuwe man-in-the-middle-aanval op SSL heeft ontworpen, heeft zijn concept-tool SSLstrip vrijgegeven. De verschijning van daadwerkelijke malware voor dit beveiligingslek ligt daarmee op de loer.

    De hacker, met het alias Moxie Marlinspike, heeft zijn kraak van SSL vorige week gedemonstreerd tijdens de Black Hat-conferentie. Zijn methode maakt misbruik van de overgang tussen http en https, waardoor SSL-verkeer op die overgang onderschept kan worden.
    Praktijkvoorbeeld

    Zelf heeft hij een tool ontwikkeld, SSLstrip, die een dergelijke aanval in de praktijk brengt. De verwijzende site gaat niet naar de versleutelde https-pagina, maar naar een gelijkende pagina waar het beoogde slachtoffer zijn inlog en wachtwoord nietsvermoedend in kan voeren.

    Het was volgens Moxie niet de bedoeling dat zijn tooltje beschikbaar zou komen, maar een overijverige, slashdottende collega heeft de url achterhaald waarop SSLstrip te vinden was. Heel veel spijt lijkt de hacker hier niet van te hebben; hij vraagt nu zelfs een vrijwillige donatie opdat hij “niet wordt gemotiveerd om zijn spullen aan de Russische maffia te slijten”. Hij heeft zijn tool ook maar direct op zijn homepagina gezet.

Reacties zijn gesloten.