De SSL-beveiliging die veel belangrijke websites gebruiken heeft weer een deuk opgelopen, tijdens de Black Hat hackerconferentie demonstreerde een onderzoeker hoe hij de beveiligingsmaatregel kan omzeilen, om zo vertrouwelijke informatie te stelen. Moxie Marlinspike, naar eigen zeggen zijn echte naam, ontwikkelde zelf een tool voor het uitvoeren van man-in-the-middle (MiTM) aanvallen. De tool, SSLstrip genaamd, kan overal gebruikt worden waar MiTM-aanvallen zinnig zijn, zoals publieke draadloze netwerken en onion-routing systemen. De tool fungeert als proxy tussen de website en het slachtoffer en zet https pagina's naar http om, zonder beide partijen te laten merken dat er iets mis is.

Het succes van SSLstrip is aan een combinatie van aantal zaken te danken, zoals slecht oplettende gebruikers, minder beveiligingswaarschuwingen in browsers en sites die beveiligde en onbeveiligde content mengen. Tijdens het inloggen loopt alles over SSL, maar als men gewoon de pagina bezoekt gebruikt men een normale HTTP verbinding. Het programma op de proxy server stuurt een verzoek naar de website en geeft de gebruiker een kopie van de website terug, alleen zonder encryptie. Dit is te zien doordat de website met HTTP in plaats van HTTPS begint, toch valt het de meeste gebruikers niet op.

Als experiment plaatste Marlinspike zijn software op een node in het Tor netwerk en wist zo 200 SSL-requests binnen 20 uur op te vangen, waaronder 114 Yahoo inloggegevens, 50 Gmail logins en 16 creditcardnummers. Geen van de gebruikers had door dat het om een onversleutelde pagina ging. In het geval van een draadloos netwerk is het mogelijk dat de proxy een geldig SSL certificaat gebruikt, waardoor er wel een slotje in de browser te zien is en de kans dat gebruikers hiervoor vallen nog groter wordt.

Schuld browsers
Een deel van het probleem wordt veroorzaakt door de moderne browsers, die in plaats van positieve feedback als een site veilig is, alleen nog maar negatieve feedback geven als iets mis is. Door een slotje als favicon te gebruiken kan een aanvaller gebruikers eenvoudig misleiden. Daarnaast is het ook mogelijk om met internationale domeinnamen een URL te maken die legitiem lijkt, maar in werkelijkheid punten en slashes bevat.

"De aanval is, voor zover ik weet, nieuw en cool", zegt DNS-onderzoeker Dan Kaminsky. "De echte boodschap van Moxie's presentatie is waar mensen al een paar jaar over spreken, en dat is dat dit SSL ding niet goed werkt." Volgens Marlinspike is er maar één oplossing, "en dat is alles versleutelen." De onderzoeker zal zijn tool aan het eind van de week uitbrengen.