Droomkans voor phishers ontdekt
Veiligheidscertificaat voor websites te klonen
30 december 2008 | Janneke Scheepers
Nederlandse en Amerikaanse onderzoekers presenteren een hack waarmee ze iedere willekeurige website kunnen voorzien van een SSL-certificaat dat door alle veelgebruikte browsers wordt geaccepteerd.
Daartoe hebben ze een valse Certification Authority opgezet. Het onderzoek is vanmiddag door Alex Sotirov en Jacob Appelbaum gepresenteerd op het Chaos Communication Congress in Duitsland.
Hangslot
Een Certification Authority (CA) is een instantie die digitale veiligheidscertificaten uitgeeft voor websites. Onder meer banksites maken gebruik van dergelijke certificaten. De veilige websites zijn herkenbaar aan de https:// in de url en het icoontje van een gesloten hangslot.
De veelgebruikte webbrowsers zoals Internet Explorer en Mozilla Firefox hebben deze CA's op een witte lijst staan. Dit betekent dat een valse CA iedere website als veilig kan voorstellen. En dat is precies wat de onderzoekers hebben gedaan.
Hun doorbraak haalt de manier waarop webbrowsers veilige websites vertrouwen onderuit. Het biedt een manier voor aanvallers om phishingaanvallen uit te voeren die op het oog niet te detecteren zijn. "Eigenlijk hebben we SSL gebroken", aldus Sotirov in een interview met ZDNet.com, voorafgaand aan zijn presentatie.
Bekend lek
Het lek zit echter niet in het SSL-protocol of de webservers en browsers, maar in de Public Key Infrastructure (PKI) die wordt gebruikt om de certificaten voor veilige websites uit te geven, benadrukken de onderzoekers in een uitgebreide toelichting op de aanval.
Ze hebben een bekend lek benut in de MD5 cryptografische hashfunctie, die wordt gebruikt in de digitale handtekeningen voor de certificaten. De kwetsbaarheid staat toe om voor meerdere bestanden dezelfde MD5 hash te creëren. Ondanks het feit dat de veiligheid van MD5 al een aantal jaren bekend staat als zwak, wordt het algoritme nog altijd gebruikt door minstens zes CA's.
Dankzij dit lek hebben de onderzoekers een digitale handtekening van een officiële CA kunnen klonen. Een cluster van tweehonderd Playstation 3-consoles leverde de nodige rekenkracht voor de aanval.
» Review Ubuntu 12.04 (Precise Pagolin)
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
» De technologie van het 9/11-monument
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
» Wel borstvoeding, geen tepels op Facebook
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
