Beter vertrouwensmodel nodig voor online banking

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Woensdag 27 mei 2009
Auteur: Koen Vervloesem

Man-in-the-middle aanvallen waarbij hackers browsersessies van gebruikers kunnen kapen verdienen meer aandacht, aldus de uitvinder van SSL. Webbrowsers hebben volgens hem een beter model nodig om met vertrouwen om te gaan.

De cryptograaf Taher Elgamal was één van de drijvende krachten achter SSL toen dit beveiligingsprotocol door Netscape uitgevonden werd. Tijdens de AusCERT 2009 Asia Pacific Information Security Conference in Australië verzorgde hij de keynote, waarin hij zijn visie op man-in-the-middle aanvallen gaf. Zo'n aanval plaatst een proxy tussen de webbrowser en de webserver: de webbrowser vraagt een SSL-certificaat aan de webserver, de proxy onderschept het teruggegeven certificaat en geeft zijn eigen certificaat aan de webbrowser door, die nu denkt dat hij met de bedoelde server spreekt.

Geen ontwerpfout

Volgens Elgamal is de mogelijkheid van man-in-the-middle aanvallen geen ontwerpfout in het SSL-protocol, maar zit het probleem in het trust model van de webbrowsers. Dat schrijft de Australische technologiesite ITWire. De discussie over het trust model in browsers woedt al zo'n vijftien jaar, maar er is geen oplossing: vanuit het beveiligingsstandpunt wil je dat de browser zo weinig mogelijk bronnen vertrouwt, terwijl je als producent van een browser juist wil dat de gebruikers zo weinig mogelijk worden lastiggevallen met beveiligingswaarschuwingen.

Volgens Elgamal hebben webbrowsers zo eigenlijk de last van het vertrouwen op de schouders van de gebruikers geschoven. De gebruiker moet zichzelf ervan verzekeren dat hij inderdaad op de juiste website, dat de website betrouwbaar is en dat de communicatie versleuteld is. Vooral voor banken is dit niet houdbaar, aldus de SSL-expert: zij moeten zelf meer controle hebben om te voorkomen dat iemand een gebruiker erin luist en zijn online bankrekening kaapt. Maar dat vereist een beter trust model in de browsers.


'Goede' toepassingen

Toch ziet de cryptograaf naar eigen zeggen ook 'goede' toepassingen van man-in-the-middle aanvallen. Werknemers van een bedrijf kunnen gevoelige informatie lekken en dit verbergen in SSL-sessies. Zelfs al monitort het bedrijf het netwerkverkeer, een geëncrypteerd kanaal houdt dit tegen. Elgamal suggereert daarom dat bedrijven zelf een man-in-the-middle aanval kunnen uitvoeren op de SSL-sessies van hun werknemers om te controleren of ze gevoelige gegevens lekken.

Bron: Techworld

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)