image

Nieuwe SSL-aanval kaapt HTTPS-sessies

donderdag 6 september 2012, 10:29 door Redactie, 7 reacties

De aanvallers die vorig jaar al demonstreerden dat ze versleuteld verkeer konden onderscheppen hebben nu een nieuwe aanval ontwikkeld. BEAST (Browser Exploit Against SSL/TLS), zoals Juliano Rizzo en Thai Duong hun eerste aanval noemden, maakte het mogelijk om de sessie van gebruikers op HTTPS-sites te kapen. Voor het uitvoeren van de aanval moest de aanvaller tussen het slachtoffer en de website in zitten.

Ook bij de nieuwe aanval, die CRIME wordt genoemd, is een man-in-the-middle positie nog steeds nodig om het HTTPS-verkeer te onderscheppen. Daarbij injecteren de onderzoekers JavaScript in de browser van het slachtoffer om de sessie-cookies te ontsleutelen. Volgens Rizzo is er geen browser plug-in vereist en zou de aanval ook met statische HTML werken. Het gebruik van JavaScript zou de aanval versnellen.

JavaScript
"We moeten JavaScript code in de browser van het slachtoffer laden en het HTTPS-verkeer sniffen. Alle SSL/TLS-versies, waaronder TLS 1.2, zijn kwetsbaar als de implementatie de feature ondersteunt die we gebruikten om informatie te lekken over versleutelde gegevens", laat Rizzo weten.

"De gebruikte cipher-suite maakt niets uit, een workaround voor BEAST was het overstappen van AES naar RC4, maar voor CRIME is dat niet belangrijk. De feature moet door zowel de client als server worden ondersteund."

Patch
Op dit moment zouden zowel Mozilla Firefox als Google Chrome kwetsbaar zijn. De browserontwikkelaars zijn echter al ingelicht en hebben een patch ontwikkeld die de komende weken wordt uitgerold. De onderzoekers zullen hun onderzoek tijdens de Ekoparty beveiligingsconferentie op 19 september presenteren.

Reacties (7)
06-09-2012, 11:07 door Anoniem
We moeten JavaScript code in de browser van het slachtoffer laden
Weer een reden om Java gewoon uit te zetten en nooit meer te gebruiken...
06-09-2012, 12:41 door Anoniem
Door Anoniem:
We moeten JavaScript code in de browser van het slachtoffer laden
Weer een reden om Java gewoon uit te zetten en nooit meer te gebruiken...

Javascript is iets volslagen anders dan Java (zeer onfortuinlijke naamgeving, op basis van marketinghype in de jaren 90). Als je Java uitzet heb je nog steeds Javascript-ondersteuning. Gebruik NoScript om zelf te bepalen welke sites Javascript mogen uitvoeren (alhoewel ook "vertrouwde" sites via een XSS-exploit gehackt kunnen worden)
06-09-2012, 12:59 door Anoniem
@11:07 Anoniem

JAVA <> Java Script.

Wat is JavaScript en wat is het verschil tussen JavaScript en de Java-technologie?
De JavaScript-programmeertaal is ontwikkeld door Netscape, Inc. en is geen onderdeel van het Java-platform.
U kunt met JavaScript geen zelfstandige applets of toepassingen maken. Op dit moment wordt Java voornamelijk gebruikt in HTML-documenten, voor webpagina's met een mate van interactiviteit die niet haalbaar is met enkel HTML.

Hier ziet u de belangrijkste verschillen tussen Java en JavaScript.
Java is een OOP-programmeertaal terwijl JavaScript een OOP-scripttaal is.
Met Java worden toepassingen gemaakt die in een virtuele machine kunnen worden uitgevoerd. JavaScript-code kan alleen in een browser worden uitgevoerd.
Java-code moet worden gecompileerd, terwijl JavaScript-code enkel uit tekst bestaat.
Voor beide zijn andere plug-ins nodig.

Bron: java.com
06-09-2012, 13:03 door rsterenb
Java != Javascript...
06-09-2012, 13:11 door Anoniem
Java <> JavaScript en beiden blijken niet vereist voor de aanval!
06-09-2012, 14:24 door Anoniem
@Anoniem: met de quote van Java.com. Gelieve niet dergelijke slechte vertalingen te posten; het staat vol met halve-waarheden en lijkt minstens 10 jaar oud te zijn.
06-09-2012, 22:24 door Security Scene Team
jullie verkrachten de gehele artikel met dit onzin gelul. ga toch BBQen net als die lijpe Hackerspaces.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.