Karthikeyan Bhargavan en Gaetan Leurent hebben een aanval bedacht en uitgevoerd – in een crypto-onderzoekslaboratorium – die kan verkeer van meer dan 600 van de populairste sites op internet piraten en uw voorheen beveiligde login blootleggen informatie.
Aanbevolen video's
De exploit, genaamd ‘Zoet32’, is echter niet eenvoudig uit te voeren. Het gaat om het verzamelen van honderden gigabytes aan gegevens en het targeten van specifieke gebruikers die toegang hebben gekregen tot een kwaadaardige website die hen met een beetje malware heeft opgezadeld. Toch wordt de moeilijkheid bij het uitvoeren van de aanval gecompenseerd door de mate waarin de aanval een aantal van de meest voorkomende versleutelingssystemen op internet ondermijnt.
Hoewel de aanval in de praktijk erg moeilijk uit te voeren is, hebben beveiligingsexperts van het OpenSSL-ontwikkelteam aandacht besteed aan het bestaan van de exploit.
Door HTTPS- of OpenVPN-gecodeerd verkeer te minen, konden de onderzoekers een wiskundige paradox gebruiken delen van gecodeerde informatie identificeren en login- en wachtwoordgegevens in hun geheel ontcijferen.
Raak nog niet in paniek, beveiligingsexperts spreken met Ars Technica zijn ervan overtuigd dat de dreiging die uitgaat van de exploit minimaal is, deels vanwege het feit dat er een relatief eenvoudige oplossing voor bestaat.
De belangrijkste kwetsbaarheid die wordt uitgebuit in het geheime cookie-decoderingsschema wordt alleen gevonden in 64-bit blokcoderingen, die OpenVPN-ontwikkelaars al hebben aangepakt in de meest recente versie van hun VPN software. Andere beveiligingsexperts die met Ars spraken, hebben bevestigd dat de exploit weinig bedreiging vormt, zolang ontwikkelaars aan boord komen en stoppen met het gebruik van 64-bit blokcijfers zoals Triple DES of ‘3DES’.
“De 3DES-kwestie heeft op dit moment weinig praktisch gevolg. Het is gewoon een kwestie van goede hygiëne om afscheid te nemen van 3DES”, zegt Viktor Dukhovni, lid van het OpenSSL-team.
Aanbevelingen van de redactie
- Een nieuwe WordPress-bug heeft mogelijk 2 miljoen sites kwetsbaar gemaakt
- Update uw Google Chrome-browser nu: nieuwe exploits kunnen ervoor zorgen dat u vatbaar bent voor hacks
- Zero-day exploit van Internet Explorer maakt bestanden kwetsbaar voor hacks op Windows-pc's
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
