image

Nieuwe aanval op https in de browser gedemonstreerd

donderdag 4 augustus 2016, 13:35 door Redactie, 4 reacties

Belgische onderzoekers van de KU Leuven hebben tijdens de Black Hat-conferentie in Las Vegas een nieuwe aanval op versleutelde internetverbindingen gedemonstreerd, die alleen in de browser van het slachtoffer wordt uitgevoerd, en het onderscheppen van gevoelige informatie mogelijk maakt.

Tom Van Goethem en Mathy Vanhoef noemen hun aanval HEIST, wat staat voor "HTTP Encrypted Information can be Stolen through TCP-windows". Bij veel aanvallen op een versleutelde verbinding moet een aanvaller in staat zijn om het internetverkeer van het slachtoffer te observeren of manipuleren, vaak door zich tussen het slachtoffer en het internet te bevinden. Daardoor zijn veel aanvallen op ssl/tls en andere beveiligde kanalen in de praktijk niet op grote schaal mogelijk.

HEIST verandert dit, aangezien de aanvallen tegen ssl/tls alleen in de browser van het slachtoffer worden uitgevoerd. De onderzoekers maken hiervoor misbruik van zwakheden in de browser en de onderliggende http-, ssl/tls- en tcp-lagen. Zo ontdekten ze een side-channel-aanval die het mogelijk maakt om eerder ontdekte aanvalsmethodes op ssl/tls, zoals CRIME en BREACH, in de browser van de gebruiker uit te voeren, zonder dat hiervoor een man-in-the-middle-aanval is vereist. Het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een gemanipuleerde advertentie met JavaScript is in dit geval voldoende.

Door HEIST met een aanval zoals BREACH te combineren is het mogelijk om uit het versleutelde verkeer van het slachtoffer e-mailadressen, gebruikersnamen en andere (statische) persoonlijke identificeerbare informatie te achterhalen. De onderzoekers stellen dat het lastig is om tegen hun aanvallen te beschermen. De enige oplossing vooralsnog is het uitschakelen van cookies van derde partijen. Het onderzoek (pdf) en de presentatie (pdf) zijn nu te downloaden.

Reacties (4)
04-08-2016, 14:04 door Anoniem
ehhhhh.
Als je in de browser zit, kun je bij versleuteld verkeer ontsleutelen.
Als je in de browser zit, heb je toch al toegang tot de onversleutelde informatie?

Peter
04-08-2016, 16:37 door Anoniem
@Anoniem 14:04
Een willekeurige website die in jouw browser geopend is heeft normaal gesproken geen toegang tot bijvoorbeeld jouw sessie op een willekeurige andere website die in jouw browser open is (geweest).

Maar misschien heb jij een heel bijzondere browser waarin evilbadhacker.example.com onbeperkt gebruik kan maken van jouw sessie op mail.google.com.
04-08-2016, 17:08 door Anoniem
Door Anoniem: ehhhhh.
Als je in de browser zit, kun je bij versleuteld verkeer ontsleutelen.
Als je in de browser zit, heb je toch al toegang tot de onversleutelde informatie?

Peter
Ja, als je in de binary code van de browser zit, dan wel. Maar hiermee wordt bedoelt de code die de browser uitvoert omdat die aangeleverd is door de webpagina. Zie http://arstechnica.com/security/2016/08/new-attack-steals-ssns-e-mail-addresses-and-more-from-https-pages/
04-08-2016, 17:08 door Erik van Straten
04-08-2016, 14:04 door Anoniem: ehhhhh.
Als je in de browser zit, kun je bij versleuteld verkeer ontsleutelen.
Als je in de browser zit, heb je toch al toegang tot de onversleutelde informatie?

Peter
Wat hier bedoeld wordt is dat als je bijv. nu.nl opent, de html en javascript code die jouw browser van nu.nl laadt, instructies bevat om content van andere sites te downloaden en te verwerken.

De same origin policy in webbrowsers hoort daarbij te voorkomen dat Javascript uit een domein iets kan met informatie afkomstig van-, of verzonden naar, een ander domein (maar daar zijn al heel wat lekken in gevonden, zowel in browsers als in websites, denk bijv. aan XSS).

Die same origin policy houdt echter geen rekening met "side channel attacks", waarbij bijv. Javascript vanaf een kwaadaardige advertentieserver nauwkeurig bijhoudt hoeveel tijd processen in de context van een ander domain over bijv. cryptografische berekeningen doen.

De oplossing is overigens simpel: geen javascript uitvoeren van third party domains. Dat kan bijv. met NoScript.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.