SSL-lek wordt na half jaar gedicht

diefstal

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Dinsdag 12 januari 2010
Auteur: Michiel van Blommestein

Technici hebben na bijna een half jaar een voorstel bij het Internet Engineering Task Force (IETF) ingediend om een mogelijk ernstig lek in de Secure Socket Layer (SSL) te dichten. De task force heeft de verbeteringen goedgekeurd.

Het gaat om een probleem in SSL waardoor het mogelijk is om man-in-the-middle-aanvallen uit te voeren op verbindingen die gebruik maken van deze beveiligde laag. Al sinds september was het IETF met het probleem in de weer, maar pas begin november is het project naar buiten gekomen nadat de ontdekker uit irritatie uit de school was geklapt.

De aanpassing wordt toegepast op RFC 5246, de specificatie van het TLS 1.2 protocol. Dat is de officiële, moderne naam van SSL. Het gaat om een flinke aanpassing, omdat de manier waarop een verbroken versleutelde verbinding opnieuw wordt opgepikt door de SSL-software moest worden herschreven.

Opnieuw verbinden

Een bug in de huidige implementatie houdt in dat hackers tijdens zo'n herverbinding kunnen inbreken en gegevens kunnen onderscheppen omdat de 'handshake' tussen client en server door de aanvaller kan worden opgepikt. Deze wordt vervolgens gebruikt om een verbinding te maken met de server die parallel loopt met de verbinding met de client. Hij surft dan mee met het verkeer, en kan zo kwaadaardige code injecteren in de stroom van gegevens.

In de nieuwe voorstellen is het niet langer meer mogelijk dat de client ongevraagde autenticatie-aanvragen kan sturen naar de server, zonder dat die tweede een bevestiging geeft. Ook blijft de handshake gebonden aan de TLS-verbinding zelf. Servers kunnen zo een onderscheid maken tussen initialisatie en herinitialisatie, terwijl het ook niet langer mogelijk is om de herinitialisatie uit te splitsen over meerdere verbindingen.

Twitterhack

Toen de kwetsbaarheid in november naar buiten kwam, werd in eerste instantie gesproken van een leuk maar praktisch schier onuitvoerbaar wetenswaardigheidje. Helaas zorgde een hack op microblogdienst Twitter amper een week later dat deze mening moest worden bijgesteld.

Als reactie op dat nieuws hebben leveranciers er in veel gevallen voor gekozen om de functie voor het opnieuw tot stand brengen van een vervallen SSL-verbinding uit te schakelen .

Ondanks de goedkeuring van de verbeteringen, is het nog maar de vraag wanneer ze de functie weer kunnen aanzetten. Het moet immers allemaal nog worden geïmplementeerd in de software, en daar gaat veel tijd in zitten, omdat bijvoorbeeld ook alle libraries moeten worden geüpdatet.

Bron: Techworld

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)