Exploitcode SSL-afluistering ligt op straat
Gepubliceerd: Dinsdag 24 februari 2009
Auteur: Michiel van Blommestein
De hacker die een nieuwe man-in-the-middle-aanval op SSL heeft ontworpen, heeft zijn concept-tool vrijgegeven. De verschijning van een kwaadaardige exploit ligt daarmee op de loer.
De methode die Moxie Marlinspike, zoals de alias van de hacker luidt, vorige week tijdens de Black Hat conferentie demonstreerde maakt misbruik van de overgang tussen http en https, waardoor SSL-verkeer op die overgang onderschept kan worden.
Zelf heeft hij een tool ontwikkeld, SSLstrip, die een dergelijke aanval in de praktijk brengt. De verwijzende site gaat niet naar de versleutelde https-pagina, maar naar een gelijkende pagina waar het beoogde slachtoffer zijn inlog en wachtwoord nietsvermoedend in kan voeren.
Het was volgens Moxie niet de bedoeling dat zijn tooltje beschikbaar zou komen, maar een overijverige, slashdottende collega heeft de url achterhaald waarop SSLstrip te vinden was. Heel veel spijt lijkt de hacker hier niet van te hebben; hij vraagt nu zelfs een vrijwillige donatie opdat hij 'niet wordt gemotiveerd om zijn spullen aan de Russische maffia te slijten'. Hij heeft de tarball ook maar direct op zijn homepagina gezet.
Een aanval kan voorlopig worden voorkomen door de https-hyperlink direct in te voeren of te bookmarken, in plaats van gebruik te maken van het doorverwijzende http-adres. Maar ja, geen hond die dat doet.
Bron: Techworld
