SSL beveiligingsprotocol toch niet helemaal dicht!

online back upSteeds weer zien we dat diverse beveiligingsprotocollen toch niet waterdicht zijn en zeer gevoelige informatie open en bloot komt te liggen op het internet. Onderzoekers van Google hebben een lek ontdekt in een oude versie van beveiligingsprotocol SSL waardoor inloggegevens ongemerkt onderschept kunnen worden.

Het gaat om een lek in SSL 3.0, een achttien jaar oude versie van het protocol om verbindingen te beveiligen. Ondanks diverse opvolgers wordt SSL 3.0 nog door veel websites en browsers ondersteund.

Cookies
Dankzij het lek is het voor een hacker mogelijk beveiligd verkeer toch te onderscheppen en uit te lezen. Zo kunnen bepaalde cookies worden buitgemaakt waardoor inloggegevens van bijvoorbeeld sociale media of e-mailaccounts kunnen worden ingezien.
De gebruiker weet van niets want denkt nog steeds van een beveiligde verbinding, te herkennen aan https:// of het groene slotje in de url-balk, gebruik te maken.

Misbruik
Toch is de kwetsbaarheid te misbruiken. Hackers moeten wel toegang hebben tot het netwerk waar de gebruiker op zit of moet zelf een malafide wifi-hotspot opzetten waar de gebruiker argeloos gebruik van maakt.

Vervolgens kan de hacker het gebruik van het oude SSL 3.0 afdwingen door de verbinding te laten mislukken. Browsers zullen een mislukte verbinding opnieuw proberen met vaak een oudere versie van SSL. Als het oude protocol eenmaal wordt gebruikt, is het dus mogelijk over een beveiligde verbinding toch cookies, kleine pakketjes met vaak gevoelige data, te stelen en uit te lezen.

Oplossing
Google gebruikt in browser Chrome sinds februari een methode met de naam TLS_FALLBACK_SCSV die er voor zorgt dat zo’n downgrade niet meer gebeurt.

Bron: Nu.nl

 


1 Reactie op SSL beveiligingsprotocol toch niet helemaal dicht!

  1. Avatar van Alex Erne Alex Erne schreef:

    Zelfs met dit lek kunnen cookies onbruikbaar worden gemaakt door de sitehouder. Ik heb in een van mijn (PHP) versleutelingen gebruikgemaakt van het IP adres van de bezoeker. Als een hacker de cookie weet te onderscheppen heeft ie daar niets aan omdat het IP adres van de hacker niet overeenkomt met die van de gebruiker (uitzondering de WiFi hotspot), en wordt de cookie bij de hacker meteen verwijderd.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*