SSL kwetsbaarheid raakt ook jou

Laten we eerst kijken naar de kwetsbaarheid zelf. Dat is een man-in-the-middle aanval, waarbij een aanvaller een SSL mogelijkheid kan gebruiken die 'negotiation' heet om kwaadaardige code te injecteren in een SSL sessie. Dat lijkt me geen goed nieuws, maar het is ook niet echt het einde van de wereld, dus voorlopig kunnen we kalm blijven. Laten we een en ander in perspectief plaatsen.

Oplossingen voor het probleem

Jazeker, er lijkt een serieuze kwetsbaarheid te zitten in SSL. Maar vanaf nu is die kwetsbaarheid bekend bij een relatief kleine verzameling mensen, die hard werken aan oplossingen voor het probleem. Dat gezegd hebbende, de technische details van het probleem zijn gepubliceerd, wat betekent dat de aanvallen ook ongetwijfeld zullen komen.

Maar het valt helemaal niet mee om een effectieve man-in-the-middle aanval uit te voeren. De aanvaller moet op hetzelfde lokale netwerk zitten als de gebruiker, of in het netwerkpad tussen de gebruiker en de server. Veruit de meest waarschijnlijke van deze scenario's, op korte termijn tenminste, is de aanval op een lokaal netwerk. En daar hebben we zelf ook wat over te zeggen.

Om te beginnen zouden we veilige VPN's moeten gebruiken om te verbinden met vertrouwde netwerken, zeker als we gebruik maken van netwerken die we niet zomaar kunnen vertrouwen, zoals netwerken van hotels en Wi-Fi hotspots op terrasjes. VPN's zijn redelijk algemeen, zelfs voor kleine bedrijven.

En ik heb al vermeld dat er een aantal mensen hard werkt aan oplossingen voor dit probleem. Het zou me verbazen als we in de nabije toekomst geen patches voor SSL tegemoet kunnen zien. In ieder geval aan de serverkant zouden die binnenkort beschikbaar moeten komen. Voor ons wordt het een echte uitdaging om die patches op onze productie-systemen te krijgen, maar dat is nu eenmaal ons werk, toch?