Google ontwikkelt tool om ssl-implementaties te testen

Beveiligingsonderzoekers van Google hebben een opensource-tool geïntroduceerd waarmee gebruikers kunnen testen of hun software kwetsbaar is voor bekende beveiligingsproblemen in ssl-implementaties. De tool vergt wel enige kennis om te worden geïnstalleerd.

De tool probeert om man in the middle-aanvallen uit te voeren op verbindingen. Gebruikers moeten de tool installeren op een server en moeten het apparaat dat ze willen testen configureren om de tool als vpn, router of proxy te gebruiken. Als het apparaat kwetsbaar is voor bekende beveiligingsproblemen in ssl-implementaties, slaat de tool alarm.

Google heeft de tool 'nogotofail' genoemd, een verwijzing naar een ernstig beveiligingsprobleem in OS X en iOS dat begin dit jaar aan het licht kwam. Daarbij was het mogelijk om de inhoud van https-verkeer te achterhalen, als een aanvaller het netwerkverkeer kon onderscheppen. Het beveiligingsprobleem werd veroorzaakt doordat de tekst 'goto fail' twee keer werd geplaatst, waar dat maar één keer had gemoeten. Daardoor werd een server waarbij de code eigenlijk alarm had moeten slaan, alsnog vertrouwd.

De tool probeert ook ssl-certificaten te serveren voor andere domeinen dan het bezochte domein. Software die niet controleert of een geserveerd ssl-certificaat wel bij een bepaald domein hoort, gaat hier de fout in. Dat is iets wat onder meer ING overkwam: een oude versie van de mobiel bankieren-app van die bank controleerde het certificaat niet, waardoor een aanvaller zijn eigen certificaat zou kunnen presenteren aan zijn slachtoffer.

Wie de tool wil installeren, kan de code van Github halen. De tool werkt het beste op Linux, en gebruikers zullen zelf ssl-certificaten moeten regelen om de tool in staat te stellen valse ssl-certificaten te genereren. Ook zullen gebruikers van de tool bekend moeten zijn met de command-line op Linux.