image

Ernstige kwetsbaarheid in ssl raakt 33% https-servers

dinsdag 1 maart 2016, 14:50 door Redactie, 16 reacties

Onderzoekers waarschuwen voor een ernstige kwetsbaarheid in het ssl-protocol waardoor aanvallers versleutelde verbindingen op internet kunnen aanvallen om gevoelige informatie, zoals wachtwoorden, creditcardgegevens, handelsgeheimen of financiële, data te stelen.

Naar schatting zou 33% van alle https-servers op het internet kwetsbaar zijn. De kwetsbaarheid wordt "DROWN" genoemd, wat staat voor Decrypting RSA using Obsolete and Weakened eNcryption. Het gaat om een voorheen onbekende kwetsbaarheid in sslv2, de eerste versie van ssl die in 1995 verscheen en een jaar later al werd vervangen. Via ssl en tls worden versleutelde verbindingen opgezet.

Hoewel deze oude ssl-versie niet veel meer wordt gebruikt, wordt het wel door veel servers ondersteund. Via het lek in ssl v2 is het mogelijk om moderne versleutelde tls-verbindingen aan te vallen. Een aanvaller kan de tls-verbindingen ontsleutelen door probes naar een server te sturen die sslv2 ondersteunt en dezelfde privésleutel gebruikt. Volgens de onderzoekers zijn servers kwetsbaar die sslv2-verbindingen accepteren, zoals webservers en mailservers. Uit onderzoek bleek 17% van de https-servers dit te doen.

Ook loopt een server risico als de privésleutel op andere servers wordt gebruik die sslv2-verbindingen toestaan, ook al is het voor een ander protocol. De onderzoekers stellen dat veel bedrijven hetzelfde certificaat en sleutel voor hun web- en mailservers hergebruiken. Als bijvoorbeeld de e-mailserver sslv2 ondersteunt en de webserver niet, dan kan een aanvaller de e-mailserver gebruiken om de tls-verbindingen van de webserver te kraken. Dit hergebruik zorgt ervoor dat nog eens een extra 16% van de servers kwetsbaar is, waardoor het totaal op 33% van de https-servers uitkomt.

Om aanvallen te voorkomen wordt aangeraden sslv2 uit te schakelen en privésleutels niet ter hergebruiken. Ook is er een online scanner en offline scanner verschenen waarmee kan worden gecontroleerd of een domein kwetsbaar is. Volgens beveiligingsbedrijf Qualys is de aanval niet eenvoudig uit te voeren, maar zou dit wel goedkoop kunnen. "Jarenlang was het argument om sslv2 niet uit te schakelen dat het geen kwaad kon, omdat browsers er toch geen gebruik van maakten. Deze aanpak werkt duidelijk niet. Daarom moeten we in de toekomst ervoor zorgen dat verouderde cryptografie agressief van alle systemen wordt verwijderd", zegt Ivan Ristic van Qualys.

Image

Reacties (16)
01-03-2016, 14:58 door Anoniem
SSLv2 pfffffff onze servers willen niets anders dan TLS1.2 accepteren.
Tijd om die oude zooi eens voorgoed op te ruimen en niet langer te accepteren.
De uitdaging voor deze tijd: security life cycle management.
01-03-2016, 15:37 door Anoniem
Gelukkig gebruik ik een Macbook.
01-03-2016, 15:38 door Anoniem
Hij zult encryptie enkel en alleen veilig gebruiken wanneer u vooraf expliciet overeenstemming hebt over welke versleuteling u vervolgens veilig acht.
Jammer genoeg vatten gebruikers dat op als 'ik zet de machine aan en dan komt alles vanzelf goed als ik encryptie ga toepassen'.
01-03-2016, 16:33 door kangoo909
Volgens mij is 17% van 100 plus 16% van 100 niet automatisch 33%. Er kan 100% overlap tussen de eerste en de tweede groep zitten waardoor het totaal niet hoger komt 17%. Maar dat terzijde.
01-03-2016, 18:07 door Rarsus
Door kangoo909: Volgens mij is 17% van 100 plus 16% van 100 niet automatisch 33%. Er kan 100% overlap tussen de eerste en de tweede groep zitten waardoor het totaal niet hoger komt 17%. Maar dat terzijde.

17 % + 16% extra is 33%, mar dat terzijde...
01-03-2016, 18:10 door Anoniem
Waarom ondersteunt de aangegeven "online scanner" (https://test.drownattack.com/) geen TLS 1.0?
01-03-2016, 19:22 door Anoniem
Door Anoniem: Gelukkig gebruik ik een Macbook.
Ik heb ook een macbook... dat wil niet zeggen dat je veilig bent.. Droom lekker door. Niet specifiek voor deze kwetsbaarheid, maar wel voor andere.....
01-03-2016, 19:48 door Anoniem
Door Anoniem: Gelukkig gebruik ik een Macbook.
Inderdaad. Superieure software zonder software lekken.
Kan Microsoft nog wat van leren.
01-03-2016, 19:50 door Anoniem
Door Rarsus:
Door kangoo909: Volgens mij is 17% van 100 plus 16% van 100 niet automatisch 33%. Er kan 100% overlap tussen de eerste en de tweede groep zitten waardoor het totaal niet hoger komt 17%. Maar dat terzijde.

17 % + 16% extra is 33%, mar dat terzijde...

17% van 100 = 17
16% van 100 = 16
17+16 = 33
100+100 = 200

33 van 200 = 16.5%

:]
01-03-2016, 20:12 door Anoniem
Door Anoniem: Gelukkig gebruik ik een Macbook.
En wacht je gewoon wat langer op een patch? Of wat wil je zeggen?
01-03-2016, 20:40 door Anoniem
Door Anoniem:
Door Anoniem: Gelukkig gebruik ik een Macbook.
Inderdaad. Superieure software zonder software lekken.
Kan Microsoft nog wat van leren.


proest

http://webwereld.nl/security/92433-nieuwe--os-x-malware-van-hacking-team-ontdekt
02-03-2016, 06:50 door Anoniem
Geef mij alleen secure verbindingen. Wat moet ik nu als thuisgebruiker doen?
op mijn android...
op mijn ipad...
op mijn iphone..
op mijn windows 7 machine
02-03-2016, 08:49 door ezeyme
Door Anoniem: Gelukkig gebruik ik een Macbook.

Lekkere server gebruik je dan...
02-03-2016, 09:44 door Anoniem
Door ezeyme:
Door Anoniem: Gelukkig gebruik ik een Macbook.

Lekkere server gebruik je dan...
Sommige reacties hier zijn werkelijk om te huilen, maar om deze moest ik weer lachen, waarvoor dank!
02-03-2016, 13:12 door Anoniem
Door Anoniem: Geef mij alleen secure verbindingen. Wat moet ik nu als thuisgebruiker doen?
op mijn android...
op mijn ipad...
op mijn iphone..
op mijn windows 7 machine

https gebruiken
https gebruiken
https gebruiken
https gebruiken
02-03-2016, 23:11 door Anoniem
FYI
Af en toe zijn er grappenmakers die expres dit soort opmerkingen maken maar juist helemaal geen Apple product gebruiken!!!

Doel : trollen

Door Anoniem: Gelukkig gebruik ik een Macbook.

Dat is dan waarschijnlijk weer eens goed gelukt gezien het aantal reacties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.