DoS tool legt SSL-sites plat

De beveiligingsgroep The Hackers Choice (THC) publiceerde de tool afgelopen maandag. De nieuwe tool, genaamd THC-SSL-DOS, maakt gebruik van een zwaktebod in de Secure Sockets Layer (SSL), een ecryptie-protocol dat communicatie op het Internet beveiligt.

'Servers niet op voorbereid'

De zwakheid in SSL zit in een optie genaamd SSL Renegotiation, die standaard aan staat op servers. De SSL-Renegotiation verstrekt een nieuwe verbindingssleutel terwijl een ssl-verbinding al tot stand is gebracht.

Eén pc (tcp-connectie) kan met de tool duizenden renegotiations produceren en een server platleggen. THC geeft aan dat servers niet voorbereid zijn op grote hoeveelheden SSL-verbindingen tegelijkertijd.

'Is een dom idee'

Volgens THC kunnen twintig laptops met een datasnelheid van 120kbit/sec, grote websites ruïneren die draaien op meerdere webservers. Het verschil met reguliere DDoS-tools is dat veel meer pc's nodig zijn om servers te overbelasten met informatieaanvragen.

"De Renegotiating Key is een dom idee gezien vanuit een cryptografisch standpunt. Als je niet blij bent met de versleutelwijze aan het begin van een sessie, dan zou de verbinding opnieuw tot stand gebracht moeten worden en niet opnieuw 'onderhandeld'", schrijft THC in hun persbericht. Volgens THC wisten de fabrikanten al sinds 2003 van dit zwaktebod in SSL.

Nieuw model nodig

Ook zonder gebruik te maken van de SSL Renegotiation is de SSL-DoS-tool te gebruiken. "Het vergt alleen wat aanpassingen en meer bots voordat een effect te zien is."

"Het is tijd voor een nieuw beveilingsmodel die burgers adequaat beschermt", schrijft THC. "We hopen dat deze slechte beveiliging in SSL niet onopgemerkt blijft. De industrie moet het probleem fiksen zodat burgers weer veilig zijn. SSL gebruikt een verouderde methode voor het beschermen van data die complex, onnodig en niet geschikt is voor de 21ste eeuw."