De Freak-kwetsbaarheid blijkt niet alleen apparaten met Android, iOS en OS X te raken, maar ook Windows is niet tegen het lek bestand. Dit bevestigd Microsoft zelf donderdagnacht Nederlandse tijd. Het is een kwetsbaarheid die al sinds de jaren ’90 aanwezig is wat het relatief eenvoudig maakt om beveiligde internetverbindingen af te tappen. Freak staat voor Factoring attack on RSA-EXPORT Keys. Nu ook computers met alle momenteel ondersteunde versies van Windows kwetsbaar blijken, is het potentiële gevaar nog groter.
Freak
Deze ontdekking van Freak werd in het begin van deze week openbaar gemaakt. Zo eiste de Amerikaanse regering in de jaren ’90 dat de encryptie van websites niet te moeilijk zouden zijn, zodat deze te kraken waren voor inlichtingendiensten zoals de NSA.
Het lagere niveau van encryptie was destijds alsnog alleen voor een supercomputer te kraken en die hadden cybercriminelen niet tot hun beschikking. Inmiddels zijn de normale computers zo krachtig geworden dat deze oude encryptie wel te kraken is. Sinds 1999 hoeft deze manier van versleutelen dan ook niet meer gebruikt te worden, maar dat gebeurt nog wel.
Aftappen
Door het lek kunnen kwaadwillende het verkeer tussen twee kwetsbare apparaten monitoren en de communicatie vervolgens via de zwakke encryptie dwingen. De gebruikers van de website denken dan dat ze op een beveiligde SSL-verbindingen zitten, maar ondertussen is het mogelijk om de encryptiesleutel binnen een aantal uur te kraken waarna het verkeer afgetapt kan worden.
Donderdag heeft Google al een nieuwe versie van Chrome voor Macs uitgebracht waarbij de zwakkere encryptie niet meer afgedwongen kan worden. Daarnaast is er ook een update voor Android naar partners van Google gestuurd om het lek te dichten. Apple heeft ondertussen laten weten dat ze volgende week met een update voor iOS en OS X zullen komen. Wanneer Microsoft zijn systemen gaat updaten, is onduidelijk. Vooralsnog lijkt alleen browser Firefox bestand tegen de kwetsbaarheid.
Eerdere SSL-lekken
Hoewel Freak niet direct een kwetsbaarheid in SSL zelf is, raakt het het beveiligingsprotocol wel. In oktober 2014 werd er al een groot lek in SSL met de naam POODLE ontdekt waardoor inloggegevens konden worden onderschept.
In april van 2014 kwam bovendien Heartbleed aan het licht, dat ook wel omschreven wordt als het grootste internetlek ooit.
Ook Windows-pc"s geraakt door "Freak" dat beveiligde verbinding onveilig maakt
Geen opmerkingen:
Een reactie posten