Hacktool mikt op servers met SSL
Hackers hebben een programma uitgebracht waarmee je met één computer een webserver met beveiligde verbinding kan neerhalen.
De THC-SSL-DOS-tool misbruikt een fout in het SSL-renegotiationprotocol door meerdere aanvragen te doen voor beveiligde verbindingen. SSL-renegotiation maakt een nieuwe beveiligingssleutel over een al beveiligde SSL-verbinding.
SSL zorgt er normaal gezien voor dat gevoelige informatie tussen een website en de computer van de eindgebruiker kan worden uitgewisseld zonder dat deze wordt onderschept.
[related_article id=”161920″]
Fouten aantonen
De Duitse hackersgroep Hackers Choice zegt dat ze de tool hebben uitgebracht om de fouten in SSL onder de aandacht te brengen.
“We hopen dat de warrige beveiliging in SSL niet ongemerkt voorbijgaat”, staat te lezen in een blogpost van de groep. “De sector moet het probleem oplossen, zodat burgers opnieuw veilig en beveiligd zijn. SSL gebruikt een verouderde methode om privédata te beschermen. Die is complex, onnodig en niet geschikt voor de 21e eeuw."
Servers die geen SSL-renegotiation ingeschakeld hebben, zijn ook te misbruiken volgens de groep. Maar dit vraagt alleen aanpassingen en meer computers. De tool en zijn technische details zijn hier te bekijken.
Hackers hebben een programma uitgebracht waarmee je met één computer een webserver met beveiligde verbinding kan neerhalen.
De THC-SSL-DOS-tool misbruikt een fout in het SSL-renegotiationprotocol door meerdere aanvragen te doen voor beveiligde verbindingen. SSL-renegotiation maakt een nieuwe beveiligingssleutel over een al beveiligde SSL-verbinding.
SSL zorgt er normaal gezien voor dat gevoelige informatie tussen een website en de computer van de eindgebruiker kan worden uitgewisseld zonder dat deze wordt onderschept.
[related_article id=”161920″]
Fouten aantonen
De Duitse hackersgroep Hackers Choice zegt dat ze de tool hebben uitgebracht om de fouten in SSL onder de aandacht te brengen.
“We hopen dat de warrige beveiliging in SSL niet ongemerkt voorbijgaat”, staat te lezen in een blogpost van de groep. “De sector moet het probleem oplossen, zodat burgers opnieuw veilig en beveiligd zijn. SSL gebruikt een verouderde methode om privédata te beschermen. Die is complex, onnodig en niet geschikt voor de 21e eeuw."
Servers die geen SSL-renegotiation ingeschakeld hebben, zijn ook te misbruiken volgens de groep. Maar dit vraagt alleen aanpassingen en meer computers. De tool en zijn technische details zijn hier te bekijken.
