Cruciale protocolfout in webencryptie ontdekt
TLS en SSL aangetast
06 november 2009 | Andy Stevens
Er is een fout opgedoken in de TLS- en SSL-protocollen, die vaak gebruikt worden om webpagina’s te versleutelen. Dat hebben twee beveiligingsonderzoekers bekendgemaakt.
Onderzoekers Marsh Ray en Steve Dispensa onthulden de TLS-fout afgelopen woensdag, na de eerdere bekendmaking van afzonderlijke, maar gelijkaardige bevindingen. TLS (Transport Layer Security), en zijn voorganger SSL (Secure Sockets Later), worden doorgaans gebruikt door online shops en banken om webtransacties te beveiligen.
Ray, die samen met Dispensa voor het authenticatiebedrijf Phonefactor werk, legt in een blogpost uit dat hij de fout in augustus al heeft ontdekt, en een werkende exploit aan Dispensa heeft getoond in september.
Beveiligde browsersessie kapen
Met de fout in de TLS-authenticatie kan een buitenstaander de browsersessie van een gebruiker kapen en zich vervolgens met succes voordoen als die gebruiker. Dat zeggen de onderzoekers in een technische paper.
Tijdens het cryptografische controleproces, waarin een reeks van elektronische handdrukken plaatsvindt tussen de client en de server, is er een verlies van continuïteit in de verificatie van de server naar de client. Dit geeft een aanvaller de kans om de datastroom te kapen.
Dat betekent dat dit lek zogeheten man-in-the-middle-aanvallen tegen https-servers toelaat, waarbij een aanvaller zich tussen de client en de server wurmt en de communicatie kan overnemen. Https (hypertext transfer protocol secure) is de veilige combinatie van http en TLS die gebruikt wordt bij de meeste financiële transacties.
Probleem kan lang aanslepen
Omdat de fout ook invloed heeft op SSL-verbindingen, zal dit probleem nog een lange tijd aanslepen, volgens Chris Paget, een andere beveiligingsexpert: “Wat dacht je van de duizenden verschillende software-updatemechanismen die op SSL vertrouwen om te functioneren? Dit is een breuk op protocolniveau, en dat betekent dat de manier waarop SSL en TLS werken opnieuw bekeken moet worden om dit recht te zetten.”
Nadat ze de problemen ontdekt hadden, maakten Ray en Dispensa hun bevindingen over aan het Industry Consortium for the Advancement of Security on the Internet (ICASI), een organisatie die bestaat uit Cisco, IBM, Intel, Juniper Networks, Microsoft en Nokia. Ook de Internet Engineering Task Force (IETF) en een aantal openbronprojecten die werken met SSL-implementatie werden op de hoogte gebracht.
Ray and Dispensa beslisten afgelopen woensdag dat alle informatie over het lek aan het publiek domein toebehoort; waarna ze al hun werk vrijgaven.
bron: ZDNet
Lees verder op ZDNet »
Hacktool mikt op servers met SSL
Duitsers kraken XML-encryptie
Gevoelige bestanden verstoppen
Websites af te luisteren door SSL-lek
Geheime versleutelcode voor gsm-verkeer gekraakt
Internet veiliger door encryptie DNS
Fout in encryptie voor Linux gevonden
"Een slotje in je browser is geen gegarandeerde veiligheid"
TU Eindhoven kraakt veelbelovende encryptie in week tijd
RAM-geheugen verraadt encryptiesleutels
Encryptie wordt vast onderdeel van Gmail
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
