Leveranciers versluizen bug herstellen in Net's Security

Software makers in de buurt de wereld worstelt om een ​​serieuze bug op te lossen in de technologie die wordt gebruikt om informatie veilig op het internet over te brengen.

De fout zit in het SSL-protocol, vooral bekend als de technologie die wordt gebruikt voor veilig browsen op websites die beginnen met HTTPS, en laat aanvallers onderscheppen beveiligde SSL-communicatie (Secure Sockets Layer) tussen computers met een zogenaamde man-in-the-middle-aanval.

Hoewel de fout alleen onder bepaalde omstandigheden kan worden misbruikt, kan deze worden gebruikt om servers te hacken in gedeelde hostingomgevingen, mailservers, databases en vele andere beveiligde applicaties, volgens Chris Paget, een beveiligingsonderzoeker die het probleem heeft bestudeerd.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

"Het is een fout op protocolniveau. " zei Paget, de chief technology officer met een beveiligingsadviesbureau genaamd H4rdw4re. "Er moet een heleboel dingen worden opgelost: webbrowsers, webservers, web load balancers, webversnellers, mailservers, SQL-servers, ODBC-stuurprogramma's, peer-to-peer-protocollen."

Hoewel een aanvaller eerst het netwerk van het slachtoffer zou moeten hacken om de man-in-the-middle-aanval te starten, zouden de resultaten verwoestend zijn - vooral als deze worden gebruikt in een gerichte aanval om toegang te krijgen tot een database of een mailserver, Zei Paget.

Omdat SSL zo veel wordt gebruikt, wordt het voortdurend onder de loep genomen van beveiligingsonderzoekers. Eind vorig jaar vonden onderzoekers een manier om valse SSL-certificaten te maken die door elke browser zouden worden vertrouwd, en in augustus onthulden onderzoekers een handvol nieuwe aanvallen die het SSL-verkeer in gevaar konden brengen. Maar in tegenstelling tot die aanvallen, die te maken hadden met de infrastructuur die werd gebruikt om SSL-digitale certificaten te beheren, ligt deze nieuwste bug in het SSL-protocol zelf en zal veel moeilijker te repareren zijn. Verder compliceert het feit dat de bug onbedoeld was bekendgemaakt op een duistere mailinglijst van woensdag, waardoor verkopers gedwongen werden om hun producten te patchen.

Het probleem werd in Auguust ontdekt door onderzoekers van PhoneFactor, een beveiligingsbedrijf voor mobiele telefoons. Ze werkten de afgelopen twee maanden samen met een consortium van technologieleveranciers, het ICASI (Industrieconsortium voor Bevordering van Beveiliging op Internet), om een ​​industriebrede oplossing voor het probleem te coördineren, genaamd "Project Mogul."

Maar hun zorgvuldige plannen werden woensdag in ontreddering geworpen toen SAP-ingenieur Martin Rex de bug zelf ontdekte. Blijkbaar niet op de hoogte van de ernst van het probleem, plaatste hij zijn opmerkingen over het onderwerp op een IETF (Internet Engineering Task Force) discussielijst. Het werd vervolgens gepubliceerd door security-onderzoeker HD Moore.

Fender kon niet zeggen wie klaar was om te patchen het probleem, maar ze merkte op dat een aantal open source-producten "angstig" zijn om een ​​patch uit te zetten. "Ik denk dat we in de nabije toekomst wat patches zullen zien", zei ze.

De ICASI was woensdagavond niet bereikbaar voor commentaar.

Hoewel veiligheidsexperts zeggen dat het gebrek waarschijnlijk al jaren bestaat, is het niet zo dacht te zijn uitgebuit bij eventuele aanvallen.

"Hoewel we het beschouwen als een materiële kwetsbaarheid, is het niet het einde van de wereld," zei Fender.