Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 10 reacties

Beveiligingsonderzoekers van Google hebben een opensource-tool geďntroduceerd waarmee gebruikers kunnen testen of hun software kwetsbaar is voor bekende beveiligingsproblemen in ssl-implementaties. De tool vergt wel enige kennis om te worden geďnstalleerd.

De tool probeert om man in the middle-aanvallen uit te voeren op verbindingen. Gebruikers moeten de tool installeren op een server en moeten het apparaat dat ze willen testen configureren om de tool als vpn, router of proxy te gebruiken. Als het apparaat kwetsbaar is voor bekende beveiligingsproblemen in ssl-implementaties, slaat de tool alarm.

Google heeft de tool 'nogotofail' genoemd, een verwijzing naar een ernstig beveiligingsprobleem in OS X en iOS dat begin dit jaar aan het licht kwam. Daarbij was het mogelijk om de inhoud van https-verkeer te achterhalen, als een aanvaller het netwerkverkeer kon onderscheppen. Het beveiligingsprobleem werd veroorzaakt doordat de tekst 'goto fail' twee keer werd geplaatst, waar dat maar één keer had gemoeten. Daardoor werd een server waarbij de code eigenlijk alarm had moeten slaan, alsnog vertrouwd.

De tool probeert ook ssl-certificaten te serveren voor andere domeinen dan het bezochte domein. Software die niet controleert of een geserveerd ssl-certificaat wel bij een bepaald domein hoort, gaat hier de fout in. Dat is iets wat onder meer ING overkwam: een oude versie van de mobiel bankieren-app van die bank controleerde het certificaat niet, waardoor een aanvaller zijn eigen certificaat zou kunnen presenteren aan zijn slachtoffer.

Wie de tool wil installeren, kan de code van Github halen. De tool werkt het beste op Linux, en gebruikers zullen zelf ssl-certificaten moeten regelen om de tool in staat te stellen valse ssl-certificaten te genereren. Ook zullen gebruikers van de tool bekend moeten zijn met de command-line op Linux.

Moderatie-faq Wijzig weergave

Reacties (10)

Voor mensen die de beveiliging van HTTPS-verkeer willen testen is de online test van Qualys SSL Labs misschien handiger en sneller. De test is op https://www.ssllabs.com/ssltest/ te vinden en een score van A+ is ideaal.
Ik haal daar een A en geen A+, en ik ben er nog steeds niet achter waarom dat is en wat ik er aan kan doen ;-)
Haal www.sslcertificaten.nl door die test en zoek de verschillen :)
Goed idee eigenlijk. Ik zie het probleempje, is volgende week in orde :-)
Overigens moet men niet te dwangmatig een A+ willen halen. Er is geen enkel probleem om een A- te hebben inveel gevallen, mits je maar kijkt naar de opmerkingen.

Om een voorbeeld te geven, als je geen forward secrecy ondersteund krijg je een '-', maar als je als systeembeheerder hardware-bescherming hebt staan is er ook geen praktisch risico op uitgelekte sleutels. Veel banken doen dat bijvoorbeeld, maar de test kan dat uiteraard niet zien.
Dat klopt natuurlijk, en ik heb ook geen probleem met "slechts" een A. Het gaat in dit geval maar om een privé blogje. Maar als ik het kan halen, dan wil ik dat ook graag. Gewoon, omdat het kán.
Dat is meer een kwaliteits check van een certificaat en server instelling dan een beveiliging check op een ssl implementatie.

[Reactie gewijzigd door robkorv op 5 november 2014 18:45]

Het is een check voor servers. Die tool (nogotofail) is een check voor clients van wat ik begrijp.
Qualys SSL test is ideaal voor een server test. Deze Google tool is meer gericht op het testen van SSL implementaties van clients.
is een netwerk beveiliging testing tool(kit), waar ssl slechts een onderdeel van is
zie ook https://github.com/google/nogotofail

[Reactie gewijzigd door himlims_ op 5 november 2014 17:54]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True