De hacker die een nieuwe man-in-the-middle-aanval op SSL heeft ontworpen, heeft zijn concept-tool SSLstrip vrijgegeven. De verschijning van daadwerkelijke malware voor dit beveiligingslek ligt daarmee op de loer.
De hacker, met het alias Moxie Marlinspike, heeft zijn kraak van SSL vorige week gedemonstreerd tijdens de Black Hat-conferentie. Zijn methode maakt misbruik van de overgang tussen http en https, waardoor SSL-verkeer op die overgang onderschept kan worden.
Praktijkvoorbeeld
Zelf heeft hij een tool ontwikkeld, SSLstrip, die een dergelijke aanval in de praktijk brengt. De verwijzende site gaat niet naar de versleutelde https-pagina, maar naar een gelijkende pagina waar het beoogde slachtoffer zijn inlog en wachtwoord nietsvermoedend in kan voeren.
Het was volgens Moxie niet de bedoeling dat zijn tooltje beschikbaar zou komen, maar een overijverige, slashdottende collega heeft de url achterhaald waarop SSLstrip te vinden was. Heel veel spijt lijkt de hacker hier niet van te hebben; hij vraagt nu zelfs een vrijwillige donatie opdat hij “niet wordt gemotiveerd om zijn spullen aan de Russische maffia te slijten”. Hij heeft zijn tool ook maar direct op zijn homepagina gezet.
Voorkomen
Een aanval valt voorlopig te voorkomen door de hyperlink naar een https-site direct in te voeren of te bookmarken, in plaats van gebruik te maken van het doorverwijzende http-adres. Er zijn echter maar weinig SSL-gebruikers die een dermate omslachtige methode gebruiken.
Bron: webwereld.nl