image

Nieuwe aanval laat aanvaller volledige url https-sites zien

woensdag 27 juli 2016, 12:14 door Redactie, 9 reacties

Onderzoekers hebben een nieuwe aanval ontwikkeld waardoor het voor een aanvaller mogelijk wordt om de volledige url van https-websites te zien, wat de privacy en inlogsessies van gebruikers in gevaar brengt. Https zorgt ervoor dat het verkeer van de gebruiker naar de website is versleuteld.

Een aanvaller die het verkeer afluistert kan alleen zien welke website de gebruiker bezoekt, maar niet de inhoud of welke pagina's er worden opgevraagd. Itzik Kotler en Amit Klein van beveiligingsbedrijf SafeBreach hebben nu toch een manier gevonden om de volledige adressen te achterhalen. Voor hun aanval maken de twee onderzoekers gebruik van het WPAD (Web Proxy Auto Discovery) protocol. Via dit protocol kunnen computers binnen een organisatie dezelfde webproxyconfiguratie gebruiken. Het wordt voornamelijk gebruikt in netwerken waar computers alleen via een proxy naar buiten mogen verbinden.

De meest voor de hand liggende manier om de aanval uit te voeren is wanneer een computer via het dynamic host configuration protocol (dhcp) verbinding met een netwerk probeert te maken, zo meldt Ars Technica. Naast het uitgeven van ip-adressen kan dhcp ook worden gebruikt voor het opzetten van een proxyserver die browsers bij het opvragen van bepaalde url's zullen gebruiken. In dit geval wordt de browser van het doelwit gedwongen een proxy autoconfig (PAC) bestand op te halen, waarin staat wanneer de proxy moet worden gebruikt.

Omdat de kwaadaardige PAC-code de op te vragen url eerder ontvangt voordat de https-verbinding is opgezet, kunnen de aanvallers zo de hele url achterhalen. De aanval werkt tegen bijna alle browsers en besturingssystemen en kan worden uitgevoerd door de beheerders van het betreffende netwerk, bijvoorbeeld in het geval van een wifi-hotspot. Dit heeft niet alleen gevolgen voor de privacy van de gebruiker, maar laat een kwaadwillende netwerkbeheerder ook de inloggegevens/sessies van de gebruiker stelen. Kotler en Klein zullen hun bevindingen deze week tijdens de Black Hat-conferentie in Las Vegas demonstreren.

Reacties (9)
27-07-2016, 12:49 door Anoniem
Hm, volgens mij is dit wel ernstig. Als deze aanval op openbare wifi-hotspots wordt ingezet, kunnen GET/POST parameters in URL's worden geëxtraheerd. Aangezien bijna alle inlogpagina's via deze parameters werken, wordt het met deze aanval relatief eenvoudig om inloggegevens op openbare netwerken af te tappen.
27-07-2016, 13:22 door Anoniem
Kotler en Klein zullen hun bevindingen deze week tijdens de Black Hat-conferentie in Las Vegas demonstreren.
Ja, geweldig jongens, echt geweldig! Ga meteen even langs bij de NSA, die zullen jullie werk heel goed waarderen hoor!
27-07-2016, 13:46 door Anoniem
Door Anoniem:
Kotler en Klein zullen hun bevindingen deze week tijdens de Black Hat-conferentie in Las Vegas demonstreren.
Ja, geweldig jongens, echt geweldig! Ga meteen even langs bij de NSA, die zullen jullie werk heel goed waarderen hoor!

Goede kans dat de NSA hier al lang van op de hoogte is. Full disclosure helpt hier juist om het probleem te verhelpen zodat inlichtingendiensten en andere criminelen hier geen gebruik meer van kunnen maken.

Maar volgens mij ben jij een troll!
27-07-2016, 13:57 door Anoniem
Door Anoniem:
Kotler en Klein zullen hun bevindingen deze week tijdens de Black Hat-conferentie in Las Vegas demonstreren.
Ja, geweldig jongens, echt geweldig! Ga meteen even langs bij de NSA, die zullen jullie werk heel goed waarderen hoor!
Ik zie niet welk punt je probeert te maken. Kun je dit toelichten?
27-07-2016, 14:57 door Anoniem
Ik zie niet welk punt je probeert te maken. Kun je dit toelichten?
Ga naar zoekmachine Google, en typ in: Snowden.
27-07-2016, 15:46 door Anoniem
Door Anoniem:
Ik zie niet welk punt je probeert te maken. Kun je dit toelichten?
Ga naar zoekmachine Google, en typ in: Snowden.

Door Anoniem:Maar volgens mij ben jij een troll!

QED

Peter
27-07-2016, 19:15 door Anoniem
Meer info in de comments van het artikel op https://tweakers.net/nieuws/114015/aanval-laat-kwaadwillenden-ondanks-https-volledige-urls-inzien.html
27-07-2016, 22:49 door Anoniem
Ok,dus dit heeft ook consequenties als je in een vpn zit,om iemand te kunnen herleiden wanneer je zo een website bezoekt.
28-07-2016, 08:36 door Vandy
Door Anoniem: Hm, volgens mij is dit wel ernstig. Als deze aanval op openbare wifi-hotspots wordt ingezet, kunnen GET/POST parameters in URL's worden geëxtraheerd. Aangezien bijna alle inlogpagina's via deze parameters werken, wordt het met deze aanval relatief eenvoudig om inloggegevens op openbare netwerken af te tappen.
Dit is inderdaad een serieus probleem. Zie hier een demonstratiefilmpje: https://www.youtube.com/watch?v=_jh1A0tA4PI
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.