Tweet

0

SSL-sitebeveiliging opnieuw doorzeefd

Alleen rechtstreekse https-URL is veilig

Het prefix 'https' voor een webadres staat niet langer garant voor een beveiligde verbinding. Hackers kunnen de achterliggende SSL-beveiliging omzeilen en bijvoorbeeld wachtwoorden afluisteren.

Een hacker op de beveiligingsconferentie Black Hat in Washington heeft een techniek gedemonstreerd om de SSL-beveiliging van een website te omzeilen. De tool, SSLstrip genoemd, nestelt zich tussen server en gebruiker. Hij laat surfer en server denken dat er wel een veilige verbinding is. Dat meldt de technologiesite The Register.

SSL is een beveiligingstechnologie die verhindert dat creditcardgegevens en wachtwoorden 'afgeluisterd' worden. Eind 2008 lag SSL al eens onder vuur als beveiligingstechniek, omdat veiligheidscertificaten eenvoudig te klonen zijn.

De man ertussen
SSLstrip is een man-in-the-middle-aanval. Een surfer die een webadres ingeeft, gaat meestal naar het adres dat begint met http. Daarna klikt hij door naar een https-site, wat betekent dat er een beveiligde verbinding wordt opgezet. Op dat ogenblik komt de hacker ertussen. De surfer verbindt met de hacker, die op zijn beurt met de server verbinding maakt. Zowel surfer als server gelooft dat er een beveiligde verbinding ontstaat.

SSLstrip is listig omdat het een proxy met een geldig SSL-certificaat in het lokaal netwerk gebruikt. Daardoor blijft er in de adresbalk van de browser een https-adres zichtbaar. De gebruiker denkt dus dat hij met een beveiligde verbinding werkt, terwijl de hacker wel degelijk het verkeer kan afluisteren.

De techniek met SSLstrip werkt bij Firefox en Safari, maar is nog niet getest bij Internet Explorer. In theorie is die laatste ook kwetsbaar.

Volgens Moxie Marlinspike, de hacker die SSLstrip demonstreerde, is er geen oplossing voorhanden. Het enige wat een surfer nu kan doen om zich te beveiligen, is het rechtstreekse https-webadres intikken. Zo kan SSLstrip er niet tussen komen.

bron: IT Professional