Koekiemonster steelt logingegevens van SSL-sites
Gebruikers van Gmail en talloze andere websites die via HTTPs inloggen lopen toch risico dat een hacker hun logingegevens steelt. Tijdens de Defcon conferentie demonstreerde reverse engineer Mike Perry hoe hij de cookies van sites als Gmail, Facebook en Amazon kan bemachtigen.
Om de logingegevens van bijvoorbeeld Gmail-gebruikers te stelen die via HTTPs zijn ingelogd, volstaat het voor een aanvaller om het slachtoffer een afbeelding van http://mail.google.com te laten laden. De browser toont dan de sessie cookie voor Gmail, zodat iedereen die het netwerk afluistert toegang tot het Gmail account van het slachtoffer krijgt. De aanval leent zich uitstekend voor een draadloos netwerk, maar zou mogelijk ook in combinatie met het DNS-lek van Dan Kaminsky zijn te gebruiken.
Een slachtoffer logt via een draadloos netwerk in op zijn Gmail account. Natuurlijk gebruikt hij hiervoor https://mail.google.com. In de tussentijd worden ook andere pagina's bezocht, waarna een aanvaller bijvoorbeeld een afbeelding van http://mail.google.com op gevraagde sites injecteert. Om de aanval te vereenvoudigen ontwikkelde Perry een tool, die niet alleen bij Google maar ook bij talloze andere websites is te gebruiken.
Vals gevoel van veiligheid
De aanval is niet nieuw, Google werd vorig jaar al voor het probleem gewaarschuwd. Nu voegde het laatst wel de optie voor https gebruik toe, dit staat niet standaard ingeschakeld. Mensen die deze optie inschakelen zijn wel bestand tegen de aanval, in tegenstelling tot wie via https://mail.google.com inlogt. "Google legde niet uit waarom deze maatregel zo belangrijk is," aldus Perry. "Het geeft mensen die normaal via https op Gmail inloggen een vals gevoel van veiligheid, omdat ze denken dat ze veilig zijn terwijl dit niet zo is."
De onderzoeker kijkt nu of ook banksites met dit probleem te maken hebben. Internetgebruikers die zich zorgen maken wordt geadviseerd om netjes uit te loggen als ze op een website klaar zijn, aangezien dan ook het cookie verloopt. De tool van Perry zal binnen twee weken voor het publiek beschikbaar zijn.
wat Google hieraan gaat doen. Al het verkeer https maken is
ook geen optie. Ik denk dat ze goed duidelijk moeten maken
dat mensen hier goed bij stil moeten staan, of dat ze hun
GMail in 'onveilige' netwerken beter kunnen ophalen met een
ssl IMAP client.
naar beneden mail aan het lezen zijn........
ik heb het gevoel ,dat veel gmail users nu met hun broek
naar beneden mail aan het lezen zijn........
Ben je gek, welnee. De gemiddelde Gmail gebruikers leest dit helemaal niet.
En als 'ie het al leest, zal de reactie zijn: "Dit is alleen voor nerds boeiend."
Een Gmail gebruiker zal simpelweg verlangen dat de heren & dames
techneuten dit oplossen. En inderdaad, het middel tegen de kwaal is al
bekend ... moet Google die optie maar standaard inschakelen. Wel er bij
vertellen dat uitschakelen snelheidswinst oplevert, maar ook ten koste gaat
van de veiligheid. Vervolgens is het aan de gebruiker om het risico al dan niet
te nemen.
Waarom worden veiligheidsopties zo vaak standaard uitgeschakeld?
Domweg omdat functioneel gebruik (lees: gemak en commercie) belangrijker
wordt gevonden dan beveiliging. Maar omdat de gemiddelde gebruiker geen
bal weet van technische beveiliging en dat ook niet gaat leren, resulteert deze
combinatie in standaard onveilige systemen.
Dus beste hard- en software leveranciers: zet de beveiligingsopties gewoon
aan, zelfs al is er dan standaard misschien niet mee te werken. Leg in de
handleiding uit waarom het produkt standaard niet vooruit te branden is, en
hoe je dat eenvoudig kunt verhelpen. Maar laat een gebruiker de beveiliging
altijd ZELF uitschakelen (nadat 'ie is gewezen op de risico's).
Dus bijvoorbeeld ook wireless routers met standaard de WPA encryptie AAN,
in de Windows verkenner standaard bekende bestandstypen NIET verbergen,
enz. enz.
Peter van Z.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?