Patch voor SSL-lek eindelijk in zicht
Gepubliceerd: Woensdag 13 januari 2010
Auteur: Michiel van Blommestein
Technici hebben na bijna een half jaar een voorstel bij het Internet Engineering Task Force (IETF) ingediend om een ernstig lek in de Secure Socket Layer (SSL) te dichten.
Het gaat om een probleem in SSL waardoor het mogelijk is om man-in-the-middle-aanvallen uit te voeren op verbindingen die gebruik maken van deze beveiligde laag. Al sinds september was het IETF met het probleem in de weer, maar pas begin november is het project naar buiten gekomen nadat de ontdekker uit irritatie uit de school was geklapt.
De aanpassing wordt toegepast op RFC 5246, de specificatie van het TLS 1.2 protocol. Dat is de officiële, moderne naam van SSL. Het gaat om een flinke aanpassing, omdat de manier waarop een verbroken versleutelde verbinding opnieuw wordt opgepikt door de SSL-software moest worden herschreven.
Opnieuw verbinden
Een bug in de huidige implementatie houdt in dat hackers tijdens zo'n herverbinding kunnen inbreken en gegevens kunnen onderscheppen omdat de 'handshake' tussen client en server door de aanvaller kan worden opgepikt. Deze wordt vervolgens gebruikt om een verbinding te maken met de server die parallel loopt met de verbinding met de client. Hij surft dan mee met het verkeer, en kan zo kwaadaardige code injecteren in de stroom van gegevens.
In de nieuwe voorstellen is het niet langer meer mogelijk dat de client ongevraagde autenticatie-aanvragen kan sturen naar de server, zonder dat die tweede een bevestiging geeft. Ook blijft de handshake gebonden aan de TLS-verbinding zelf. Servers kunnen zo een onderscheid maken tussen initialisatie en herinitialisatie, terwijl het ook niet langer mogelijk is om de herinitialisatie uit te splitsen over meerdere verbindingen.
Twitterhack
Toen de kwetsbaarheid in november naar buiten kwam, werd in eerste instantie gesproken van een leuk maar praktisch schier onuitvoerbaar wetenswaardigheidje. Helaas zorgde een hack op microblogdienst Twitter amper een week later dat deze mening moest worden bijgesteld.
Als reactie op dat nieuws hebben leveranciers er in veel gevallen voor gekozen om de functie voor het opnieuw tot stand brengen van een vervallen SSL-verbinding uit te schakelen.
Ondanks de goedkeuring van de verbeteringen, is het nog maar de vraag wanneer ze de functie weer kunnen aanzetten. Het moet immers allemaal nog worden geïmplementeerd in de software, en daar gaat veel tijd in zitten, omdat bijvoorbeeld ook alle libraries moeten worden geüpdatet.
Bron: Techworld.nl
