Versleuteld inloggen houdt hacker niet tegen

Publiek WiFi nog onveiliger dan gedacht

03 augustus 2007 | Janneke Scheepers Dat de veiligheid van publieke WiFi-verbindingen te wensen overlaat, is niets nieuws. Maar het is nog erger dan gedacht. Errata Security zegt eenvoudig onbeperkte toegang te kunnen krijgen tot de accounts van internetters die Web 2.0-diensten gebruiken via publiek WiFi. Inloggen met het Secure Socket Layer-protocol (SSL) mag niet baten.

Rob Graham, directeur van Errata Security, demonstreerde de hack tijdens de hackingbijeenkomst Black Hat, meldt The Register. De techniek gebruikt een alledaags netwerkspeurprogramma om de cookies te onderscheppen die door Google Mail, Hotmail en talloze andere sites naar de pc worden teruggestuurd nadat een gebruiker zijn inloggegevens heeft ingevoerd.

De websites gebruiken die cookies als sessie-ID, om te valideren dat de browser toebehoort aan de persoon die zojuist heeft ingelogd. Door de cookie te kopiëren en te koppelen aan een compleet andere browser, kunnen onderzoekers van Errata Security gemakkelijk onbeperkte toegang krijgen tot de accounts van anderen.

Tot nu toe leek het redelijk veilig om middels hotspots toegang tot de e-mail te krijgen, zolang maar wordt ingelogd met een SSL-sessie. Maar iedere sessie die niet van begin tot eind wordt beschermd door SSL, is kwetsbaar voor de hack.

Volgens Graham kan dit worden omzeild door Google te gebruiken. Het is dan zaak opties te selecteren die Gmail, Google Calendar en een aantal andere diensten gedurende de hele sessie voortdurend versleuteld houden. Veel andere webdiensten switchen na de log-in naar een onversleutelde browsing-modus.

Een compleet verslag van de hackdemonstratie is hier te lezen. Lees meer artikels over : hack, wi-fi, beveilging

bron: ZDNet