De kwetsbaarheid zit volgens beveiligingsonderzoeker Marsh Ray in het feit dat elke ssl-transactie (secure socket layer) valt op te delen in meerdere, afzonderlijke transacties. Die vormen dan tezamen de verbinding tussen bijvoorbeeld een beveiligde website, zoals van een winkel of bank, en een webbrowser.

Een hacker kan in theorie zijn eigen berichten tussen die opgedeelde transacties plaatsen, en zo commando's versturen aan een client. De client gaat uit van een vertrouwde, versleutelde verbinding, en voert de commando's daarom gewoon uit.

Apache en IIS

Het lek wordt uiterst serieus genomen. Sinds september is een consortium van grote ict-bedrijven bezig om het te verhelpen. Werkbare exploits zijn al gedemonstreerd op webservers Apache en IIS.

Zowel het veelgebruikte open source-pakket als de bij Windows Server meegeleverde webserver van Microsoft lieten beveiligd verkeer uitgaan dat valt te 'vergiftigen' door een hacker. Daardoor is dus de client aan de andere kant kwetsbaar. Ray heeft het lek indertijd gemeld onder een non-disclosureclausule. Dat betekent dat hij over het lek zou zwijgen tot het moment dat het gat gedicht is.

Nog geen oplossing

Die zwijgplicht is echter komen te vervallen, doordat een andere beveiliger naar buiten is geklapt toen hij recent uit zichzelf ongeveer dezelfde ontdekking deed.

Ray doet nu dus ook een boekje open, terwijl het consortium nog geen oplossing klaar heeft. Er is dan ook nog geen specificatie ingediend bij de IETF voor een verbeterde nieuwe versie van SSL.

Welles/nietes

Ondanks de ernst van dit lek in het fundamentele beveiligingsprotocol, zegt een bekende hacker, Moxie Marlinspike, tegenover The Register dat het allemaal nog meevalt. Hij stelt dat de hack uitgaat van client certificate authentication, wat in de praktijk niet veel wordt gebruikt. De ontdekkers spreken weer tegen tegen dat het lek alleen valt te misbruiken via client certificate authentication.

Bron: Techworld.nl