Onderzoekers van Google hebben een ernstig beveiligingslek in het bijna 15 jaar oude SSL 3.0 protocol ontdekt waardoor een netwerkaanvaller informatie uit versleutelde verbindingen kan stelen, zoals cookies en andere informatie. Hiermee zou een aanvaller bijvoorbeeld de sessie van een gebruiker kunnen overnemen. Ondanks de leeftijd wordt SSL 3.0 nog uitgebreid ondersteund. Zo ondersteunen alle browsers het.
In het geval van een bug of verbindingsprobleem met een HTTPS-server zullen browsers op een oudere SSL-versie terugvallen om de verbinding opnieuw te proberen. Een aanvaller die tussen een gebruiker en het internet zit kan deze verbindingsproblemen veroorzaken en zo het gebruik van SSL 3.0 binnen de browser veroorzaken om vervolgens het lek te misbruiken. De aanval wordt door de onderzoekers van Google "POODLE" genoemd, wat staat voor Padding Oracle On Downgraded Legacy Encryption.
Google stelt dat het uitschakelen van de ondersteuning van SSL 3.0, of CBC-mode ciphers met SSL 3.0, voldoende is om het probleem te verhelpen. Dit brengt echter omvangrijke compatibiliteitsproblemen met zich mee. Daarom adviseert Google om TLS_FALLBACK_SCSV te ondersteunen. Dit mechanisme lost het probleem op door mislukte verbindingen opnieuw te proberen en niet op zwakkere encryptie terug te vallen.
Daardoor kan een aanvaller het gebruik van SSL 3.0 niet meer afdwingen. Het voorkomt ook het downgraden naar TLS 1.2, 1.1 of 1.0, wat mogelijk ook toekomstige aanvallen voorkomt. De zoekgigant zal daarnaast de komende maanden in alle clientprogramma's, zoals Google Chrome, de ondersteuning van SSL 3.0 geheel verwijderen. Google-ingenieur Adam Langley stelt dat dit mogelijk al binnen drie maanden gebeurt kan zijn.
Tip voor Chromegebruikers: wie SSL 3.0 nu al in Chrome wil uitschakelen kan hiervoor de volgende command line flag gebruiken: --ssl-version-min=tls1
Ook Mozilla stelt dat zowel websites als browsers SSL 3.0 moeten uitschakelen. Net als Google is ook Mozilla van plan om SSL 3.0 in Firefox uit te schakelen. Dit zal in Firefox 34 gebeuren, die op 25 november moet uitkomen. Verder zal vanaf Firefox 35 het SCSV-mechanisme worden ondersteund. Volgens de opensourceontwikkelaar gebruikt Firefox SSL 3.0 voor slechts 0,3% van de HTTPS-verbindingen. "Dat is een klein percentage, maar vanwege de omvang van het web gaat het nog steeds om miljoenen transacties per dag", zegt Mozilla's Richard Barnes.
Tip voor Firefoxgebruikers: wie SSL 3.0 nu al in Firefox wil uitschakelen moet het volgende doen: tik in de adresbalk about:config en zoek vervolgens naar security.tls.version.min Zet nu de waarde (value) hiervan op 1.
De ontwikkelaars van Tor laten weten dat de software niet kwetsbaar is, aangezien standaard TLSv1 staat ingeschakeld en er nooit een mechanisme was om op SSLv3 terug te vallen. Daarnaast versleutelt Tor hetzelfde geheim niet op dezelfde manier als er verbindingsproblemen zijn. De POODLE-aanval zal dan ook weinig zin hebben, zelfs als een aanvaller Tor-gebruikers op SSL 3.0 laat terugvallen.
Tor Browser, het programma dat veel Tor-gebruikers gebruiken, is op Firefox gebaseerd en bevat wel het eerder genoemde terugvalmechanisme. Daarom zal ook Tor binnenkort met een nieuwe versie van Tor Brower komen. Tor Browser-gebruikers die zich willen beschermen kunnen de tip voor Firefoxgebruikers volgen.
Naast Mozilla en Google heeft ook Microsoft een waarschuwing afgegeven. SSL 3.0 wordt namelijk door alle ondersteunde Windowsversies ondersteund en zijn dan ook kwetsbaar voor de aanval. Aangezien de aanval alleen in bepaalde gevallen kan worden uitgevoerd stelt Microsoft dat het lek geen groot risico voor gebruikers is. Ook zijn er nog geen aanvallen op het lek waargenomen. Microsoft zou op dit moment de situatie onderzoeken en afhankelijk van de uitkomst met een update komen.
Tip voor IE-gebruikers: wie SSL 3.0 nu al in Internet Explorer wil uitschakelen moet het volgende doen: Ga in het Extra (Tools)-menu naar Internetopties (Internet Options). Kies vervolgens het Geavanceerd (Advanced) tabblad. Verwijder bij het kopje Beveiliging (Security) het vinkje van "SSL 3.0 gebruiken" (USE SSL 3.0) en vink vervolgens het gebruik van TLS 1.0, TLS 1.1 en TLS 1.2 aan als deze opties nog niet zijn aangevinkt. Herstart vervolgens IE.
Deze posting is gelocked. Reageren is niet meer mogelijk.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Certified Secure LIVE Online
Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!
Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!
Neem contact met ons op voor de mogelijkheden voor jouw team.
Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...
Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.