Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

SSL-sitebeveiliging opnieuw doorzeefd

  • Door
  • Randy ten Have
  • geplaatst op
  • 20 februari 2009 08:14 uur

hangslotEen hacker heeft tijdens de Black Hat beveiligingsconferentie in Washington een nieuwe methode laten zien om SSL beveiligingen te passeren. De https://-prefix staat niet meer garant voor een veilige verbinding. Deze methode wordt door de ontdekker SSL strip genoemd.

Bij deze methode wordt gebruik gemaakt van een proxy server, eenĀ  ‘man in the middle’ attack. De hacker zorgt voor de verdere afhandeling van de verbinding. Hij kan daarbij alle gegevens die over het net gaan, bijvoorbeeld creditcardgegevens bemachtigen.SSLstrip is listig omdat het een proxy met een geldig SSL-certificaat in het lokaal netwerk gebruikt. Daardoor blijft er in de adresbalk van de browser een https-adres zichtbaar.

De hack is getest met Safari en Firefox, maar zou ook in Internet Explorer moeten werken. Een beveiliging op deze methode is nog niet gevonden, maar kan enkel in Hyperlinks worden toegepast. Zolang de gebruiker zelf de URL in de adresbank intypt, zal er niets aan de hand zijn. Eerder al lag de SSL beveiliging onder vuur doordat enkele certificaten gebruik maken van een MD5 handtekening die achterhaald kon worden.

Paul, 20 februari 2009 9:04 am

Ik vraag me af of je dit een lek in de ssl beveiliging mag noemen, dit is toch meer een lek in de browser en vooral de laksheis van de gebruiker, deze moet altijd alert blijven door te 3x kloppen en tijdens de sessie altijd op het slotje blijven letten.

Het is niet zo dat er een certificaat is aangevraagd voor gmail.com maar voor *.ijjk.cn, wat de browser dan weergeeft als gmail.com.

Maar het blijft wel opvallend dat ook dit probleem zich niet voordoet met een ev ssl certificaat, zouden we dan alleen nog maar een website met een ev certificaat moeten vertrouwen?

patrick, 20 februari 2009 9:28 am

Wat als een affected SSL site een http redirect op zijn pagina zet naar een andere locatie; zou deze proxy het dan nog goed doen ? of re-direct hij hem dan gewoon naar de correcte pagina?

  • Pingback: Firefox » SSL-sitebeveiliging opnieuw doorzeefd

  • Pingback: Internet Explorer » Blog Archive » SSL-sitebeveiliging opnieuw doorzeefd

  • Paul, 20 februari 2009 9:42 am

    Je kan het zo zien, de proxy past de url aan van https:// naar http:// zo blijft de gebruiker onbeveiligd communiceren naar de proxy server.

    Zolang de informatie niet gecodeerd is kan de proxy de html code van de pagina aanpassen. Maar zodra de proxy weet om welke website het gaat kan hij ook zelf de secure sessie opzetten om de content te kunnen lezen, aanpassen en dan secure (onder een andere naam) of unscure doorgeven.

    Het zelfde ssl certificaat kan echter nooit gebruikt worden en daardoor is het redelijk eenvoudig om dit te constateren.

    Zolang de gebruiker niet goed oplet dan kan deze op een onveilige website uitkomen. Zolang de gebruiker het certificaat gewoon controleert is er niets aan de hand.

    Paul, 20 februari 2009 9:43 am

    Je kan het zo zien, de proxy past de url aan van https naar http zo blijft de gebruiker onbeveiligd communiceren naar de proxy server.

    Zolang de informatie niet gecodeerd is kan de proxy de html code van de pagina aanpassen. Maar zodra de proxy weet om welke website het gaat kan hij ook zelf de secure sessie opzetten om de content te kunnen lezen, aanpassen en dan secure (onder een andere naam) of unscure doorgeven.

    Het zelfde ssl certificaat kan echter nooit gebruikt worden en daardoor is het redelijk eenvoudig om dit te constateren.

    Zolang de gebruiker niet goed oplet dan kan deze op een onveilige website uitkomen. Zolang de gebruiker het certificaat gewoon controleert is er niets aan de hand.

    patrick, 20 februari 2009 10:27 am

    @paul,

    Als ik het artikel goed lees is dit juist wat er niet gebeurd; de https verbinding blijft er n.l wel maar nu niet tussen de server en gebruiker maar tussen de server en proxy, waarna de proxy op zijn beurt weer ssl spreekt tussen de proxy en gebruiker.

    Daarom vroeg ik me af wat er gebeurd als de 'server' kant een nieuwe url doorgeeft; zou die proxy slim genoeg zijn om die ook op deze manier aan te passen of reageerd hij dan op dezelfde manier als dat er een direct een link ingetypt zou worden.

    Paul, 20 februari 2009 10:45 am

    Dat bedoelde ik juist uit te leggen, omdat de proxy controle heeft over de content (aangezien deze een eigen secure sessie met de server maakt) kan deze de url aanpassen.

    Zodra een secure url wordt opgevraagd wordt er enkel een ip-adres doorgegeven aan de proxy server (HTTP1.0).

    Persoonlijk denk ik dat je met een proxy ook gewoon een nieuwe sessie kan afluisteren door een nieuwe verbinding op de proxy server te starten op basis van ip-nummer en deze informatie dan terug te geven aan de client.

    patrick, 20 februari 2009 10:47 am

    @paul,

    Dank had ik je verkeerd begrepen ;) kan gebeuren.

    Toon, 21 februari 2009 2:51 pm

    Op dezelfde dag dat ik dit lees, krijg ik een brief(spam) per post van Networking4all hoe veilig SSL wel niet is.. goede timing jongens! :)

    Frank, 22 februari 2009 1:49 pm

    Het bovenstaande artikel heeft wat mij betreft niet direct iets te maken met de veiligheid van het
    ssl protocol maar geeft wel duidelijk aan dat je er niet bent door enkel gebruik te maken van een
    ssl certificaat.

    1. U moet uw bezoekers informeren waar op te letten!

    2. Als je beveiliging belangrijk vind gebruik dan niet de goedkoopste certificaten maar zorg dat uw
    bezoekers zo min mogelijk hoeven te doen om er zeker van te zijn dat ze niet op een phising site
    zitten. (plaats een siteseal en gebruik minimaal een certificaat met bedrijfsinformatie)

    De brief welke u heeft ontvangen is puur informatief, gerelateerd aan de ontwikkelingen in de markt
    en de wettelijke verplichting waar ook u zich aan dient te houden!

    Als Networking4all proberen wij ons steentje bij te dragen in de markt en daarom iedereen zo goed
    mogelijk te informeren omtrent te ontwikkeligen.

    Ik vind het jammer dat u onze goede bedoelingen ervaart als spam (waar dit officieel niet onder spam
    maar onder direct marketing valt)

    Laatste reacties

    Bedankt voor het succes van ISPam.nl
    Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

    Bedankt voor het succes van ISPam.nl
    Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

    Bedankt voor het succes van ISPam.nl
    L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

    Bedankt voor het succes van ISPam.nl
    Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

    Bedankt voor het succes van ISPam.nl
    Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.