Meer gaten gevonden in SSL-beveiligingsprotocol van Web

Beveiligingsonderzoekers hebben enkele gevonden ernstige tekortkomingen in software die het SSL-coderingsprotocol (Secure Sockets Layer) gebruikt om communicatie op internet te beveiligen.

Tijdens de Black Hat-conferentie in Las Vegas onthulden onderzoekers een aantal aanvallen die kunnen worden gebruikt om een ​​compromis te sluiten verkeer tussen websites en browsers.

Door dit type aanval kan een aanvaller wachtwoorden stelen, een on line bankiersessie kapen of zelfs een Firefox-browserupdate uitsturen die kwaadaardige code bevat, aldus de onderzoekers.

[Verder lezen: Hoe malware van uw Windows-pc te verwijderen]

De problemen liggen in de manier waarop veel browsers SSL hebben geïmplementeerd, en ook in het openbare X.509-infrastructuurinfrastructuursysteem dat wordt gebruikt om de gebruikte digitale certificaten te beheren door SSL om te bepalen of een website betrouwbaar is.

Een beveiligingsonderzoeker die zichzelf Moxie Marlinspike noemt, toonde een manier om SSL-verkeer te onderscheppen met behulp van wat hij noemt een nul-beëindigingscertificaat. Om zijn aanval te laten werken, moet Marlinspike eerst zijn software op een lokaal netwerk krijgen. Na installatie ontdekt het SSL-verkeer en presenteert zijn nul-beëindigingscertificaat om communicatie tussen de client en de server te onderscheppen. Dit type man-in-the-middle-aanval is niet op te sporen, zei hij.

De aanval van Marlinspike is opmerkelijk vergelijkbaar met een andere veel voorkomende aanval, bekend als een SQL-injectie-aanval, die speciaal vervaardigde gegevens naar het programma stuurt in de hoop deze in de war te brengen iets doen wat het normaal niet zou moeten doen. Hij ontdekte dat als hij certificaten voor zijn eigen internetdomein maakte met null-tekens - vaak weergegeven met een 0 - sommige programma's de certificaten verkeerd interpreteerden.

Dat komt omdat sommige programma's stoppen met het lezen van tekst wanneer ze een nul-teken zien. Dus een certificaat dat is uitgegeven aan www.paypal.com 0.thoughtcrime.org kan worden gelezen als behorend tot www.paypal.com.

Het probleem is wijdverbreid, zei Marlinspike, met gevolgen voor Internet Explorer, VPN (virtual private network) -software, e-mailclients en instant messaging-software en Firefox-versie 3.

Om het nog erger te maken, rapporteerden onderzoekers Dan Kaminsky en Len Sassaman dat ze hadden ontdekt dat een groot aantal webprogramma's afhankelijk is van certificaten die zijn uitgegeven met behulp van een verouderde cryptografische code. technologie genaamd MD2, die lange tijd als onveilig werd beschouwd. MD2 is niet echt gekraakt, maar het kan binnen een paar maanden worden afgebroken door een vastberaden aanvaller, zei Kaminsky.

Het MD2-algoritme werd 13 jaar geleden door VeriSign gebruikt om zichzelf te ondertekenen "een van de kernwortelcertificaten in elke browser op de planeet, "zei Kaminsky.

VeriSign stopte met het ondertekenen van certificaten met MD2 in mei, zei Tim Callan, vice president productmarketing bij VeriSign.

" Een groot aantal websites gebruikt deze root, dus we kunnen het niet echt doden of we breken het web ", zei Kaminsky.

Softwaremakers kunnen hun producten echter vertellen dat ze geen MD2-certificaten mogen vertrouwen; ze kunnen ook hun producten programmeren om niet kwetsbaar te zijn voor de nulbeëindigingsaanval. Tot op heden echter, is Firefox 3.5 de enige browser die het nul-beëindigingsprobleem heeft gepatcht, aldus de onderzoekers.

Dit is de tweede keer in het afgelopen halfjaar dat SSL onder toezicht is gekomen. Eind vorig jaar vonden onderzoekers een manier om een ​​kwaadwillige certificeringsinstantie te maken, die op zijn beurt ongeldige SSL-certificaten kon afgeven die door elke browser zouden worden vertrouwd.

Kaminsky en Sassaman zeggen dat er een aantal problemen zijn in de manier waarop SSL-certificaten worden gebruikt uitgegeven die hen onzeker maken. Alle onderzoekers waren het erover eens dat het x.509-systeem dat wordt gebruikt om SSL-certificaten te beheren, is verouderd en moet worden gerepareerd.