Tweet

0

Droomkans voor phishers ontdekt

Veiligheidscertificaat voor websites te klonen

Een valse CA in combinatie met Dan Kaminsky's DNS-aanval kan ernstige gevolgen hebben, zegt Sotirov. "Gebruikers kunnen, zonder dat ze het in de gaten hebben, worden omgeleid naar kwaadaardige websites die er precies zo uitzien als de vertrouwde bank- of e-commercesites die ze denken te bezoeken. De webbrowser ontvangt een vervalst certificaat, dat ten onrechte wordt vertrouwd, en het wachtwoord en andere privédata van de gebruiker kunnen in verkeerde handen vallen."

Volgens hem heeft het team de belangrijkste browserleveranciers al op de hoogte gebracht van het probleem. Maar er zijn nog geen doeltreffende oplossingen, tenzij de CA's stoppen met het gebruik van MD5 en overstappen naar het veiliger SHA-1 algoritme.

Nog geen oplossing
Om misbruik te voorkomen, heeft het team zijn valse CA verouderd en zal het de private sleutel niet vrijgeven. De code waarmee het MD5-lek is misbruikt, wordt pas later vrijgegeven, aldus Sotirov. Hij verwacht niet dat de aanval op korte termijn gemakkelijk te herhalen valt.

Volgens medeonderzoeker Arjen Lenstra is het "absoluut noodzakelijk dat browsers en CA's stoppen met MD5 en migreren naar meer robuuste alternatieven zoals SHA-2 en de komende SHA-3-standaard."

Alexander Sotirov en Jacob Appelbaum hebben voor hun onderzoek samengewerkt met het Centrum Wiskunde & Informatica (CWI), de Technische Universiteit Eindhoven (TUE) en het Zwitserse EPFL.

bron: ZDNet