Zoek jij werk?
"In verband met de verdere groei en ontwikkeling van onze organisatie zijn wij per direct op zoek naar een PHP programmeur." ›››
Blog
Hackers kraken SSL internetslotje
Risico op grootschalige fraude
Nederlandse en Amerikaanse onderzoekers hebben het belangrijkste beveiligingssysteem, het SSL-certificaat voor internetsites, gekraakt. Dat meldt de site Webwereld. De kraak vergroot het risico op grootschalige fraude.
Nederlandse en Amerikaanse onderzoekers hebben het belangrijkste beveiligingssysteem, het SSL-certificaat voor internetsites, gekraakt. Dat meldt de site Webwereld. De kraak vergroot het risico op grootschalige fraude.
Het onderzoek is dinsdag gepresenteerd op het 'Chaos Communication Congress', dat jaarlijks in Berlijn wordt gehouden.
De onderzoekers van het Nederlandse Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de TU Eindhoven en onafhankelijke security-onderzoekers in Californië bouwden voor deze demonstratie een eigen zogenaamde Certificate Authority (CA). Een cluster van tweehonderd Playstation 3-spelcomputers leverde de nodige rekenkracht voor de aanval.
Door het vervalsen van een Certificate Authority, een instantie die digitale veiligheidscertificaten uitgeeft voor websites, zijn hackers, maar dus ook criminelen, in staat om iedere website te voorzien van een SSL-certificaat, het bekende 'slotje' onderaan de webbrowser. De hackers kochten zelf voor veel geld certificaten in en achterhaalden zodoende het mechanisme om eigenhandig foutieve certificaten van een handtekening te voorzien. Door de digitale-handtekeningen na te maken, kunnen hackers zelf gemaakte certificaten uitgeven, terwijl browsers niet doorhebben dat ze geigenlijk gefopt worden omdat het om een kloon gaat. Op deze manier kunnen malafide websites zich voordoen als veilig. Met alle gevolgen van dien.
Onder meer banken en webshops maken gebruik van dergelijke certificaten. Deze websites zijn herkenbaar aan de aanduiding https in de adresbalk.
Op het congres werd nog wel duidelijk gemaakt dat het lek niet zit in het SSL-protocol zelf, maar in de infrastructuur die wordt gebruikt om de certificaten voor veilige websites uit te geven. De onderzoekers geven niet alle details prijs om misbruik door criminelen te voorkomen, maar waarschuwen wel dat kenners het systeem binnen een maand kunnen kraken.
Ondanks het feit dat de veiligheid al een aantal jaren bekend staat als zwak, wordt het coderingssysteem nog altijd veelvuldig gebruikt. Al in 2005 kwamen de eerste signalen dat het niet goed zat met de techniek. In 2007 is het advies afgegeven om over te stappen op veiligere mechanismen.
De onderzoekers willen aantonen dat het nu echt tijd is voor de CA's om nieuwe certificaten te maken met een andere handtekening. Ook leveranciers van webbrowsers zullen aan de bak moeten om de boel beter te beveiligen.
update (21-01-2009): Inmiddels zijn vrijwel alle grote SSL-uitgevers voorzien van een aangepaste versie van de MD5-hash of overgestapt op SHA-1 waardoor het risico nog nihil is.
Externe link
http://www.ad.nl/multi-media/2879107/Hackers_kraken_internetslotje.html
Zie ook
Sitemap
Diensten
E-mail marketing
Webdesign en advies
Hosting en domeinregistratie
Content Management Systeem
Customer Relationship Management
Google Optimalisatie
Digitaal bladeren
Digitaal aanmeldformulier
E-mail marketing
Webdesign en advies
Hosting en domeinregistratie
Content Management Systeem
Customer Relationship Management
Google Optimalisatie
Digitaal bladeren
Digitaal aanmeldformulier
Contact
De Heren Van BV
De Lei 2
3971 CA
Driebergen-Rijsenburg
T 0343 - 520 350
F 0343 - 521 500
E info@deherenvan.nl
De Lei 2
3971 CA
Driebergen-Rijsenburg
T 0343 - 520 350
F 0343 - 521 500
E info@deherenvan.nl
