EFF geeft advies tegen afluisteren HTTPS en VPN door NSA
Deze week presenteerden onderzoekers informatie waaruit blijkt dat de NSA mogelijk in staat is om bepaalde versleutelde verbindingen, zoals HTTPS, VPN en SSH, af te luisteren. Gebruikers kunnen echter maatregelen nemen om dit te voorkomen, aldus de Amerikaanse burgerrechtenbeweging EFF.
Het probleem is dat bij het opzettten van een versleutelde verbinding een algoritme wordt gebruikt voor het uitwisselen van de sleutel. In veel gevallen wordt hiervoor het Diffie-Hellman-algoritme gebruikt. Het vormt de basis voor moderne cryptografie en wordt gebruikt voor VPNs, HTTPS, e-mail en andere protocollen. Door de manier waarop het algoritme wordt geïmplementeerd lopen gebruikers het risico om door geheime diensten te worden afgeluisterd, aldus onderzoekers Alex Halderman en Nadia Heninger .
Het probleem is dat een client, bijvoorbeeld een browser, en een server die Diffie-Hellman gebruiken eerst een priemgetal met een bepaalde vorm moeten afspreken. Veel applicaties blijken daarbij gestandaardiseerde 'hardcoded' priemgetallen te gebruiken. Een geheime dienst die een een bepaald priemgetal weet te "kraken", kan vervolgens alle verbindingen afluisteren die dit specifieke priemgetal gebruiken. Het gaat in dit geval om 1024-bits priemgetallen.
NSA
"Gebaseerd op het bewijs dat we hebben kunnen we niet bewijzen dat de NSA dit doet. Onze voorgestelde manier om Diffie-Hellman te kraken past beter bij de technische details van de grootschalige decryptie-mogelijkheden van de NSA dan elke andere uitleg", aldus de onderzoekers. Uit de documenten van klokkenluider Edward Snowden blijkt dat de NSA over een infrastructuur beschikt om VPN-verbindingen af te luisteren. Het systeem is zo ontworpen om bepaalde data te verzamelen die specifiek nodig is om Diffie-Hellman aan te vallen.
"Aangezien het gebruik van Diffie-Hellman op deze zwakke manier wijdverbreid is in zowel standaarden als implementaties, kan het nog jaren duren voordat de problemen zijn opgelost", zo waarschuwen de onderzoekers. Ze stellen dat ook andere grote overheden soortgelijke aanvallen kunnen uitvoeren, als ze dat al niet doen.
Maatregelen
Internetgebruikers die zich tegen een eventuele aanval willen beschermen kunnen verschillende maatregelen nemen. Zo kan Diffie-Hellman in de browser worden uitgeschakeld, zodat erbij het opzetten van een versleutelde verbinding geen gebruik van wordt gemaakt. Gebruikers van een VPN moeten hun software zo instellen dat Diffie-Hellman alleen met 2048-bits priemgetallen wordt gebruikt., zoals de EFF in dit artikel uitlegt.
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha
beiden op dubbelklikken waardoor true op false wordt gezet.
En mijn accu?
Hou ik nog een beetje cpu en data over voor daadwerkelijke data?
Windows 10>control panel>Internet opties>advanced>tls1.0 uitvinken.
Windows 10>control panel>Internet opties>advanced>tls1.0 uitvinken.
Ik heb precies hetzelfde gedaan, maar hier werkt het wel, SSL 2&3 staan uit, net als TLS 1.0 & 1.1. Uiteraard heb ik wel TLS 1.2 aangezet. Misschien dat die handeling het probleem oplost? Die staat namelijk niet standaard aan
Windows 10>control panel>Internet opties>advanced>tls1.0 uitvinken.
Ik heb precies hetzelfde gedaan, maar hier werkt het wel, SSL 2&3 staan uit, net als TLS 1.0 & 1.1. Uiteraard heb ik wel TLS 1.2 aangezet. Misschien dat die handeling het probleem oplost? Die staat namelijk niet standaard aan
Nu doet hij het hier ook. TLS1.2 stond natuurlijk aan. Iemand heeft blijkbaar ergens een bitje omgezet. Eind goed, al goed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
