Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 17 reacties, 16.355 views •

Britse beveiligingsonderzoekers hebben een kwetsbaarheid gevonden in het transport layer security-protocol waardoor het mogelijk wordt om versleutelde data te kunnen ontsleutelen. De 'lucky thirteen'-aanvalsmethode is echter complex.

De aanvalsmethodiek op het tls-protocol en het afgeleide datagram tls-protocol, die beide gebruikt worden bij het maken van https-verbindingen, wordt beschreven door Nadhem AlFardan and Kenneth Paterson. Een aanvaller dient als man-in-the-middle https-sessies uit te kunnen lezen. Vervolgens wordt een bekende kwetsbaarheid in het door tls gebruikte encryptiealgoritme benut: een pakketje waar 'onzindata' aan is toegevoegd wordt verstuurd naar de ontvangende server. Omdat een gemanipuleerd pakketje meer verwerkingstijd vraagt van de server, en dit meetbaar is, kunnen de aanvallers met behulp van complexe statistische berekeningen versleutelde data alsnog uitlezen.

Voor de lucky thirteen-aanvalsmethode zijn grote hoeveelheden samples nodig, al konden de onderzoekers de benodigde tijd om de encryptie te kraken sterk reduceren door andere bekende kwetsbaarheden in het tls-protocol te combineren. Ook kan er sneller data worden ontsleuteld als een deel van de data bekend is, zo stellen de onderzoekers. Bij servers die gebruik maken van OpenSSL konden datapakketjes geheel van encryptie worden ontdaan, bij de GnuTLS-implementatie tot op vier bits.

Ondanks dat de kwetsbaarheid complexe berekeningen en veel tijd vergt, en daarmee momenteel een bescheiden risico vormt, stellen de onderzoekers dat de ssl- en tls-beveiligingsprotocollen verbeterd moeten worden. Browserbouwer Opera en de ontwikkelaars van de PolarSSL-library zouden het gat al hebben gedicht, terwijl onder andere de developers van OpenSSL en CyaSSL aan een patch werken. Verder willen de Britse onderzoekers de gebruikte code niet vrijgeven maar wel overhandigen aan andere security-researchers.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBLG

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True