Bug maakt https-verbindingen onveilig

Https-verbindingen blijken toch minder veilig dan gedacht, dankzij de bug 'Freak'. De bug is door onderzoekers gemeld op freakattack.com. Daar is te controleren of je client vatbaar is voor de bug.

De bug is het resultaat van voormalig overheidsbeleid in Amerika, waarin er een verbod op de export van sterke encryptie naar het buitenland lag. De zwakkere producten, ook wel 'export-grade' genoemd, waren expliciet bestemd voor het buitenland, melden de onderzoekers die het probleem ontdekten. De restricties werden eind jaren '90 opgeheven, maar de zwakkere encryptie zit diep in nu nog gebruikte software gebakken. Deze zwakkere encryptie kwam overigens ook weer terug naar Amerika, waar het deze week voor het eerst werd opgepikt.

Hacken

Onderzoekers hebben ontdekt dat ze browsers kunnen dwingen om de zwakkere encryptie te gebruiken, om deze vervolgens in een aantal uren te kraken. Vervolgens is het voor hackers mogelijk om wachtwoorden en andere persoonlijke informatie te stelen, en om een grotere aanval op de websites uit te voeren. Hierbij kunnen ze elementen op een pagina overnemen, zoals de 'like'-knop van Facebook bijvoorbeeld.

Wanneer is de connectie kwetsbaar?

Een connectie is volgens de onderzoekers kwetsbaar als de server 'RSA_EXPORT'-coderingen gebruikt, en de client een 'RSA_EXPORT' aanbiedt of een versie van OpenSSL die kwetsbaar is voor CVE-2015-0204 gebruikt. Zo kunnen veel Google- en Apple-apparaten onveilig zijn, aangezien veel van deze devices unpatched OpenSSL gebruiken.

Op freakattack.com is te zien welke servers aangetast zijn, welke populaire websites RSA_EXPORT gebruiken en of jouw client veilig is.