image

Onderzoek: 95% https-servers kwetsbaar voor mitm-aanvallen

donderdag 17 maart 2016, 12:12 door Redactie, 3 reacties

95% van de https-servers is kwetsbaar voor eenvoudige man-in-the-middle-aanvallen, waardoor internetgebruikers naar phishingsites kunnen worden gelokt, zo stelt internetbedrijf Netcraft aan de hand van eigen onderzoek. Het probleem is dat de https-sites geen gebruik van hsts maken.

Hsts zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er http in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Via https kan een bezoeker de identiteit van de website controleren en weet dat zijn gegevens versleuteld worden uitgewisseld.

"Elke veilige website die geen hsts implementeert kan eenvoudig worden aangevallen door een http-verbinding ernaar te kapen. Dit is een zeer haalbare aanval, aangezien er veel manieren zijn waardoor een gebruiker onbedoeld via http in plaats van https verbinding maakt", zegt Paul Mutton van Netcraft. Ondanks het belang van hsts wordt het door slechts 5% van de https-sites toegepast.

Een oplettende gebruiker kan bij een dergelijke aanval opmerken dat hij op een http-site in plaats van een https-site zit. Desondanks is er volgens Mutton geen reden waarom https-sites geen hsts zouden implementeren. "Het is erg eenvoudig te doen en het heeft geen praktische nadelen als een website al geheel via https werkt. Dit maakt het nog verrassender dat veel banken geen hsts gebruiken, met name voor internetbankieren", stelt Mutton. Juist voor internetbankieren is hsts volgens hem belangrijk, aangezien het een belangrijk doelwit voor aanvallers is.

Reacties (3)
17-03-2016, 12:43 door Anoniem
Doe een simpele scan hier en zie of het aanstaat (zie voorbeeld): https://www.expeditedssl.com/simple-ssl-scanner/scan?target_domain=www.marmotex.com
Goede gedegen beveiliging is zich bewust van haar vele beperkingen, de domheid van incompetente beveiliging toont zich door haar grenzeloosheid! Helaas wint arrogante domheid steeds meer en meer aan terrein. Daarom moet ieder in deze bange tijden voor zichzelf zorgen, een bulk hoster doet dat in de meeste gevallen echt niet voor u.

´´Ik vertrouw slechts datgene dat ik zelf heb getest´´.
17-03-2016, 16:15 door wizzkizz
HSTS biedt geen afdoende beveiliging tegen MITM aanvallen. Het is immers nog steeds mogelijk om met een "vals" certificaat de gebruiker te misleiden. Hierbij bedoel ik met "vals" een certificaat dat niet door de eigenaar/beheerder is aangevraagd maar door de aanvaller zonder dat dit een foutmelding oproept bij de gebruiker. Afgelopen jaren hebben wel bewezen dat het niet onmogelijk is om dit voor elkaar te krijgen.

HSTS en HPKP (https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning) is afaik het beste wat op dit moment mogelijk is.
18-03-2016, 07:46 door Anoniem
Het enige nadeel van HSTS en HPKP is dat je altijd nog kwetsbaar bent bij de eerste keer dat je de website bezoekt. Op dat moment wordt de HSTS header pas opgeslagen in je browser. Helaas blijft dit nog steeds de valkuil.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.