Hacker vindt weer een lek in SSL

Hacker Moxie Marlinspike heeft op de Black Hat conferentie in Washington de manier gedemonstreerd. De methode werkt op publieke Wi-Fi netwerken en andere plaatsen waar een man-in-the-middle aanval mogelijk is. Dat meldt The Register die met de hacker heeft gesproken.

De hacker heeft zijn methode SSLstrip genoemd. SSLstrip zet pagina's die normaal gesproken worden beschermd door de secure sockets layer protocol om naar hun onversleutelde versies. Daarbij leidt het de website en de gebruiker om de tuin en laat ze denken dat de beveiliging nog gewoon werkt.

Introductiewebsites zijn meestal gewoon in http. Pas de inlogpagina's zijn encrypted en dus https. SSLstrip werkt op die overgang. Een manier om SSLstrip geen kans te geven is het hele adres, inclusief https met de hand in te voeren. Je kunt het ook in je bookmarks zetten, dat is iets handiger.

Oogsten op Tor

Zeker verontrustend is dat SSLstrip ook werkt bij mensen die zich heel erg goed bewust zijn van het gevaar dat ze op internet lopen. Zo heeft Moxie zijn SSLstrip op een server gedraaid waarop een Tor anonimiteitsnetwerk werd gehost. Hij deed dat gedurende 24 uur en ondertussen kreeg hij maar liefst 254 wachtwoorden te pakken van sites als Gmail, Yahoo, Ticketmaster, PayPal en LikedIn. Bij deze gelegenheid had hij niet eens de moeite genomen om 'https' voor de urls te laten zien. Toch voerden deze mensen hun wachtwoorden in. Waaruit blijkt dat ze zich met Tor volkomen veilig voelden op internet. Volkomen onterecht.

In 2007 is er al een manier gevonden om SSL te omzeilen en vorig jaar bleek dat de SSL-certificaten vervalst konden worden toen er een lek werd gevonden in OpenSSL. En eind december openbaarden hackers op de CCC-conferentie een methode om de SSL-certificaten te kraken middels een zwakte in de cryptografische hashfunctie MD5.

Bron: Techworld.nl