Consortium tracht ssl-lek in geheim te dichten
Gepubliceerd: Donderdag 5 november 2009
Auteur: Michiel van Blommestein
Beveiligers hebben een lek ontdekt in de secure socket layer waardoor man-in-the-middle-aanvallen uitgevoerd kunnen worden op clients. Een consortium is al sinds september in de weer met het lek.
De kwetsbaarheid zit volgens beveiligingsonderzoeker Marsh Ray in het feit dat elke ssl-transactie valt op te delen in meerdere, afzonderlijke transacties. Een hacker kan in theorie zijn eigen berichten tussen die opgedeelde transacties wurmen, en zo commando's versturen aan een client. De client gaat uit van een vertrouwde, versleutelde transactie, en voert de commando's daarom gewoon uit.
Het lek wordt uiterst serieus genomen, en sinds september is een consortium van grote techbedrijven bezig om het te verhelpen. Werkbare exploits zijn al gedemonstreerd op Apache en IIS; beide webservers lieten verkeer uitgaan die valt te vergiftigen door een hacker, waardoor de client aan de andere kant kwetsbaar was. Ray heeft het lek indertijd gemeld onder een non-disclosureclausule, wat betekent dat hij over het lek zou zwijgen tot het moment dat het gat gedicht is.
Dat Ray nu een boekje open doet, terwijl het consortium nog geen specificatie heeft ingediend bij de IETF, heeft er alles mee te maken dat een andere beveiliger naar buiten is geklapt toen hij recent uit zichzelf ongeveer dezelfde ontdekking deed.
Hoewel het allemaal heel ernstig klinkt, zegt een andere hacker, Moxie Marlinspike, tegenover The Register dat het allemaal nog meevalt. Dat komt omdat de hack uitgaat van client certificate authentication, en dat wordt volgens de hacker in de echte wereld niet veel gebruikt.
De ontdekkers spreken op hun beurt trouwens weer tegen dat het alleen op client certificate authentication werkt.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
