image

Nieuwe aanval op HTTPS gedemonstreerd

zondag 4 augustus 2013, 10:49 door Redactie, 0 reacties

Tijdens de Black Hat conferentie in Las Vegas hebben onderzoekers een nieuwe aanval op HTTPS gedemonstreerd, waardoor het mogelijk is om gegevens die via een versleutelde verbinding zijn verstuurd te achterhalen. HTTPS wordt op miljoenen websites gebruikt om het verkeer, zoals wachtwoorden en andere authenticatiegegevens, tussen bezoekers en de server te versleutelen.

De aanval die Angelo Prado, Neal Harris en Yoel Gluck deze week lieten zien werkt tegen alle versies van TLS en SSL. Wel zijn er enkele vereisten voor een succesvolle uitvoering. Zo moet de aanvaller in staat zijn om het verkeer tussen de bezoeker en de website te monitoren. Ook moet een aanvaller het slachtoffer een kwaadaardige link laten bezoeken.

Man-in-the-middle
In het geval een aanvaller zich tussen het slachtoffer en de website bevindt, zoals bij een man-in-the-middle-aanval, is het mogelijk om deze link aan het browserverkeer toe te voegen dat het slachtoffer ontvangt. Een andere mogelijkheid is het versturen van een e-mail met verborgen afbeeldingen die automatisch de vereiste HTTP-verzoeken genereren.

Door platte tekst aan een HTTPS-verzoek van het slachtoffer toe te voegen, kan een aanvaller door de omvang te meten, informatie over het HTTPS-antwoord van de website achterhalen. Hiervoor moet een aanvaller de omvang van de versleutelde tekst kunnen monitoren die de browser ontvangt.

Raden
Om een bepaald gegeven uit het HTTPS-antwoord te achterhalen, zoals een wachtwoord, moet de aanvaller dit karakter voor karakter raden, door steeds twee HTTPS-verzoeken voor elke raadpoging te versturen. Een correcte gok zal in een kleiner HTTPS-antwoord resulteren.

In beide gevallen worden de twee HTTPS-verzoeken via de browser van het slachtoffer verstuurd. Bij een token met een lengte van 32 en een karakterruimte van 16, zoals bijvoorbeeld hexadecimaal, heeft een aanvaller gemiddeld 1.000 verzoeken nodig.

30 seconden
In de praktijk blijkt dat het mogelijk is om CSRF-tokens met minder dan 4.000 verzoeken te achterhalen. Een browser zoals Google Chrome of Internet Explorer kan dit aantal verzoeken binnen 30 seconden versturen, aldus Prado tegenover het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit.

Volgens CERT-CC is er nog geen praktische oplossing voor het probleem. Wel zijn er enkele maatregelen die het lek kunnen mitigeren. Sommige van deze maatregelen beschermen volledige applicaties, terwijl andere alleen individuele pagina's beschermen.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.