Weer groot lek in beveiligingsprotocol SSL ontdekt

admin October 15, 2014
[0] comments
Weer groot lek in beveiligingsprotocol SSL ontdektFoto:  123RF

Dat maakten de onderzoekers dinsdagnacht (Nederlandse tijd) bekend (pdf). De aanval die gebruikmaakt van het lek heeft de naam POODLE (Padding Oracle On Downgraded Legacy Encryption) gekregen.

Het gaat om een lek in SSL 3.0, een achttien jaar oude versie van het protocol om verbindingen te beveiligen. Ondanks diverse opvolgers wordt SSL 3.0 nog door veel websites en browsers ondersteund.


Cookies


Dankzij het lek is het voor een hacker mogelijk beveiligd verkeer toch te onderscheppen en uit te lezen. Zo kunnen bepaalde cookies worden buitgemaakt waardoor inloggegevens van bijvoorbeeld sociale media of e-mailaccounts kunnen worden ingezien.

De gebruiker weet van niets want denkt nog steeds van een beveiligde verbinding, te herkennen aan https:// of het groene slotje in de url-balk, gebruik te maken.

POODLE is niet zo serieus als het in april ontdekte Heartbleed waardoor relatief eenvoudig al het versleutelde verkeer kon worden afgetapt.


Misbruik


Toch is de kwetsbaarheid te misbruiken. Hackers moeten wel toegang hebben tot het netwerk waar de gebruiker op zit of moet zelf een malafide wifi-hotspot opzetten waar de gebruiker argeloos gebruik van maakt.

Vervolgens kan de hacker het gebruik van het oude SSL 3.0 afdwingen door de verbinding te laten mislukken. Browsers zullen een mislukte verbinding opnieuw proberen met vaak een oudere versie van SSL.

Als het oude protocol eenmaal wordt gebruikt, is het dus mogelijk over een beveiligde verbinding toch cookies, kleine pakketjes met vaak gevoelige data, te stelen en uit te lezen.


Oplossing


Google gebruikt in browser Chrome sinds februari een methode met de naam TLS_FALLBACK_SCSV die er voor zorgt dat zo’n downgrade niet meer gebeurt, zo schrijft het bedrijf in een blog.

De zoekgigant deelde het lek voor publicatie ook met andere bedrijven waardoor Mozilla nu al laat weten dat SSL 3.0 vanaf Firefox 34 niet meer ondersteund zal worden. De nieuwste variant van de browser komt 25 november uit.

Naast het zeer ernstige lek Heartbleed, dook in september nog Shellshock op waardoor kwaadwillenden op afstand de controle over een pc met OS X of Linux konden overnemen.

Heartbleed: Wat je moet weten over het grootste internetlek ooit

Lees meer over het Shellshock-lek

This entry was posted in tech. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>