EFF geeft advies tegen afluisteren HTTPS en VPN door NSA
Deze week presenteerden onderzoekers informatie waaruit blijkt dat de NSA mogelijk in staat is om bepaalde versleutelde verbindingen, zoals HTTPS, VPN en SSH, af te luisteren. Gebruikers kunnen echter maatregelen nemen om dit te voorkomen, aldus de Amerikaanse burgerrechtenbeweging EFF.
Het probleem is dat bij het opzettten van een versleutelde verbinding een algoritme wordt gebruikt voor het uitwisselen van de sleutel. In veel gevallen wordt hiervoor het Diffie-Hellman-algoritme gebruikt. Het vormt de basis voor moderne cryptografie en wordt gebruikt voor VPNs, HTTPS, e-mail en andere protocollen. Door de manier waarop het algoritme wordt geïmplementeerd lopen gebruikers het risico om door geheime diensten te worden afgeluisterd, aldus onderzoekers Alex Halderman en Nadia Heninger .
Het probleem is dat een client, bijvoorbeeld een browser, en een server die Diffie-Hellman gebruiken eerst een priemgetal met een bepaalde vorm moeten afspreken. Veel applicaties blijken daarbij gestandaardiseerde 'hardcoded' priemgetallen te gebruiken. Een geheime dienst die een een bepaald priemgetal weet te "kraken", kan vervolgens alle verbindingen afluisteren die dit specifieke priemgetal gebruiken. Het gaat in dit geval om 1024-bits priemgetallen.
NSA
"Gebaseerd op het bewijs dat we hebben kunnen we niet bewijzen dat de NSA dit doet. Onze voorgestelde manier om Diffie-Hellman te kraken past beter bij de technische details van de grootschalige decryptie-mogelijkheden van de NSA dan elke andere uitleg", aldus de onderzoekers. Uit de documenten van klokkenluider Edward Snowden blijkt dat de NSA over een infrastructuur beschikt om VPN-verbindingen af te luisteren. Het systeem is zo ontworpen om bepaalde data te verzamelen die specifiek nodig is om Diffie-Hellman aan te vallen.
"Aangezien het gebruik van Diffie-Hellman op deze zwakke manier wijdverbreid is in zowel standaarden als implementaties, kan het nog jaren duren voordat de problemen zijn opgelost", zo waarschuwen de onderzoekers. Ze stellen dat ook andere grote overheden soortgelijke aanvallen kunnen uitvoeren, als ze dat al niet doen.
Maatregelen
Internetgebruikers die zich tegen een eventuele aanval willen beschermen kunnen verschillende maatregelen nemen. Zo kan Diffie-Hellman in de browser worden uitgeschakeld, zodat erbij het opzetten van een versleutelde verbinding geen gebruik van wordt gemaakt. Gebruikers van een VPN moeten hun software zo instellen dat Diffie-Hellman alleen met 2048-bits priemgetallen wordt gebruikt., zoals de EFF in dit artikel uitlegt.
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha
beiden op dubbelklikken waardoor true op false wordt gezet.
En mijn accu?
Hou ik nog een beetje cpu en data over voor daadwerkelijke data?
Windows 10>control panel>Internet opties>advanced>tls1.0 uitvinken.
Windows 10>control panel>Internet opties>advanced>tls1.0 uitvinken.
Ik heb precies hetzelfde gedaan, maar hier werkt het wel, SSL 2&3 staan uit, net als TLS 1.0 & 1.1. Uiteraard heb ik wel TLS 1.2 aangezet. Misschien dat die handeling het probleem oplost? Die staat namelijk niet standaard aan
Windows 10>control panel>Internet opties>advanced>tls1.0 uitvinken.
Ik heb precies hetzelfde gedaan, maar hier werkt het wel, SSL 2&3 staan uit, net als TLS 1.0 & 1.1. Uiteraard heb ik wel TLS 1.2 aangezet. Misschien dat die handeling het probleem oplost? Die staat namelijk niet standaard aan
Nu doet hij het hier ook. TLS1.2 stond natuurlijk aan. Iemand heeft blijkbaar ergens een bitje omgezet. Eind goed, al goed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.