Websites af te luisteren door SSL-lek
Een kwetsbaarheid maakt het mogelijk om verkeer naar bijna alle websites die met SSL zijn beveiligd af te luisteren. SSL staat voor secure sockets layer.
Het probleem is ontdekt door twee onderzoekers, Thai Duong en Juliano Rizzo. Zij zullen hun bevindingen deze week tonen op de securityconferentie Ekoparty in Buenos Aires. Ze slagen er naar eigen zeggen in om ongemerkt het dataverkeer tussen een webserver en de browser te decrypteren.
De kwetsbaarheid is volgens The Register van toepassing op versie 1.0 en ouder van TSL (transport layer security, de voorloper van SSL). Versies 1.1 en 1.2 hebben daar geen last van, maar die worden volgens de site nauwelijks ondersteund door browsers en websites.
[related_article id=”161920″]
De voorwaarde is wel dat de hackers toegang hebben tot de verbinding tussen de website en de eindgebruiker. Dat lijkt moeilijk, maar in praktijk is dat niet zo ondenkbaar als je bijvoorbeeld op een onbekend netwerk via wifi surft.
Hulp van Beast
Duong en Rizzo zullen deze week hun bewijzen demonstreren, een zogenaamd proof-of-concept. Dat doen ze met behulp van Beast, een zelfgemaakt hulpmiddel dat staat voor Browser Exploit Against SSL/TLS. Dit is een stukje Javascript met een netwerksniffer die versleutelde cookies kan ontcijferen. De bedoeling is dat de onderzoekers in hun demonstratie een Paypal-account hacken.
Een kwetsbaarheid maakt het mogelijk om verkeer naar bijna alle websites die met SSL zijn beveiligd af te luisteren. SSL staat voor secure sockets layer.
Het probleem is ontdekt door twee onderzoekers, Thai Duong en Juliano Rizzo. Zij zullen hun bevindingen deze week tonen op de securityconferentie Ekoparty in Buenos Aires. Ze slagen er naar eigen zeggen in om ongemerkt het dataverkeer tussen een webserver en de browser te decrypteren.
De kwetsbaarheid is volgens The Register van toepassing op versie 1.0 en ouder van TSL (transport layer security, de voorloper van SSL). Versies 1.1 en 1.2 hebben daar geen last van, maar die worden volgens de site nauwelijks ondersteund door browsers en websites.
[related_article id=”161920″]
De voorwaarde is wel dat de hackers toegang hebben tot de verbinding tussen de website en de eindgebruiker. Dat lijkt moeilijk, maar in praktijk is dat niet zo ondenkbaar als je bijvoorbeeld op een onbekend netwerk via wifi surft.
Hulp van Beast
Duong en Rizzo zullen deze week hun bewijzen demonstreren, een zogenaamd proof-of-concept. Dat doen ze met behulp van Beast, een zelfgemaakt hulpmiddel dat staat voor Browser Exploit Against SSL/TLS. Dit is een stukje Javascript met een netwerksniffer die versleutelde cookies kan ontcijferen. De bedoeling is dat de onderzoekers in hun demonstratie een Paypal-account hacken.
