Wetenschappers van het Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven en onafhankelijke security-onderzoekers in Californië hebben een zwakke plek gevonden in de internetbeveiliging. Door deze kwetsbaarheid in de infrastructuur van digitale certificaten, SSL-certificaten, kunnen vervalste certificaten uitgegeven worden die volledig vertrouwd worden door alle gebruikelijke webbrowsers. Het lekt maakt internetbankieren en webshoppen onveilig.

De onderzoekers presenteerden hun resultaten op 30 december tijdens het 25C3 security congres van de Chaos Computer Club (CCC) in Berlijn. Ze toonden aan dat het mogelijk om beveiligde websites en mailservers na te bootsen en om vrijwel ondetecteerbare ‘phishing aanvallen’ te doen. Ze hopen dat door de publiciteit betere beveiligingsstandaarden op  internet gebruikt worden.

Als iemand een website bezoekt waarvan de URL met ‘https’ begint, dan verschijnt er een klein hangslot-symbool in het browserscherm. Dit geeft aan dat de website beveiligd is door middel van een digitaal certificaat, dat uitgegeven wordt door een van de vertrouwde Certificate Authorities (CA’s). Om er zeker van te zijn dat dit een authentiek digitaal certificaat is, verifieert de browser de digitale handtekening ervan met standaard cryptografische algoritmes. Het team van onderzoekers ontdekte dat een van deze algoritmes – MD5 – vatbaar is voor misbruik.

De onderzoekers hebben aangetoond dat een essentieel deel van de internet-infrastructuur niet veilig is. Een vertrouwde fictieve CA, in combinatie met bekende zwakke plekken in het DNS (Domain Name System) protocol, kan de deur openzetten voor vrijwel ondetecteerbare phishing-aanvallen. Een gebruiker kan bijvoorbeeld zonder het te weten naar een onbetrouwbare site geleid worden die er precies hetzelfde uitziet als de beveiligde bank- of e-commerce website die hij denkt te bezoeken. Zijn webbrowser kan dan een vervalst certificaat ontvangen dat ten onrechte vertrouwd wordt. Zo kunnen wachtwoorden en andere persoonlijke gegevens in verkeerde handen vallen. Naast beveiligde websites en e-mailservers kan de zwakke plek ook andere veelgebruikte software beïnvloeden.

Het team van onderzoekers bestaat uit: Alexander Sotirov (onafhankelijk security onderzoeker), Marc Stevens (Cryptology Group, CWI), Jacob Appelbaum (Noisebridge, The Tor Project), Arjen Lenstra (EPFL), David Molnar (UC Berkeley), Dag Arne Osvik (EPFL) en Benne de Weger (TU/e).

(Foto van scoyoblog)

Dit verhaal is geplaatst op dinsdag 30 december 2008 om 18:16 uur.