Security-onderzoekers Robert Hansen en Josh Sokol hebben bijna 25 kwetsbaarheden gepresenteerd in de manieren waarop versleutelde informatie (via SSL) wordt uitgewisseld tussen browsers en websites. Die zwakke plekken geven hints over het internetgedrag van slachtoffers. De hackers vangen die hints op door de 'randen' van SSL-verkeer af te luisteren. Het duo heeft het nut van deze analyse gedemonstreerd tijdens de Black Hat-conferentie in Las Vegas, meldt het Amerikaanse persbureau Associated Press.

Niet kraken, maar sniffen

Aanvallers kunnen deze 'aanvalsmethode' benutten zonder de gebruikte SSL-encryptie te kraken. Zij analyseren simpelweg met welke sites er via SSL wordt gecommuniceerd. Daaruit valt af te leiden waar internetters mee bezig zijn, bijvoorbeeld transacties bij webwinkels.

Het probleem zit in de manier waarop webbrowsers omgaan met de encryptietechniek Secure Sockets Layer (SSL). Dat beveiligingsprotocol voor netwerkverkeer wordt alom gebruikt op sites die gevoelige informatie in ontvangst nemen, zoals creditcardnummers bij webwinkels. Bijna alle browsers zijn kwetsbaar voor diverse vormen van misbruik, stellen Hansen en Sokol.

Meerdere tabs

De twee waren er niet op uit om SSL-encryptie te kraken, maar wilden uitzoeken hoe ze op makkelijkere manier iets van het webgedrag van bezoekers te weten konden komen. Ze kwamen onder meer browserinstellingen te weten of het aantal webpagina's dat gebruikers hadden bezocht. Ook konden ze 'afluisteren' of pc's van slachtoffers kwetsbaar zijn voor het buitmaken van cookies. Die kunnen diverse soorten gevoelige gegevens bevatten, soms zelfs gebruikersnamen en wachtwoorden voor websites.

Sommige van de kwetsbaarheden die Hansen en Sokol aanstippen, ontstaan doordat mensen meerdere tabbladen open hebben staan in hun browsers. Onbeveiligd verkeer in de ene tab kan dan de beveiligde communicatie in een andere tab beïnvloeden. De grote browsermakers hebben hun browsers al voorzien van gescheiden processen voor elke tab.

'E-commerce op de schop'

"Dit leidt tot een groter probleem: we moeten opnieuw overwegen hoe we e-commerce regelen", bepleit Hansen. Internetgebruikers moeten volgens hem extra voorzichtig zijn op publieke WiFi-netwerken, waar immers veel valt af te luisteren door onbekenden. Hansen is ceo van adviesbureau SecTheory en Sokol is securitymanager bij National Instruments Corp.

Het afluisteren van de 'randen' van SSL-verkeer is ook volgens andere security-onderzoekers een interssante methode. "Dit is innovatief onderzoek. Iedereen klopt altijd op de voordeur, maar deze aanpak is meer 'laten we eens door de ramen kijken' ", zegt SSL-expert Jon Miller van Accuvant Labs. Hansen en Sokol gebruiken veel van dezelfde aanvalsmethodes als onderzoeker Craig Heffner die ze heeft ingezet om thuisrouters te hacken.