Log ind
Publiceret d. 12. august 2002 kl. 13.09
ANNONCE:
En alvorlig fejl i SSL-implementeringen i Internet Explorer og Konqueror gør, at en hacker kan udgive sig for en anden - blot han har et enkelt ægte SSL-certifikat. Det kræver dog, at hackeren også kan overtage selve domænet.SSL (Secure Sockets Layer) bruges til at sikre websites. Alle betalingsløsninger inklusive Dankort på internet gør brug af teknologien, og det samme gør internet-banker. Når man besøger et SSL-sikret website, får browseren et certifikat af websitet. Det er en slags digital underskrift, der skal sikre, at websitet er det, det giver sig ud for.
Underskriften verificeres undervejs af et eksternt firma som for eksempel VeriSign, der dermed står som garant for websitet. Websitet og browseren udveksler derefter nøgler, så de kan kryptere den information, der sendes frem og tilbage.
Problemet er, at visse browsere kun kontrollerer, at SSL-certifikatet er ægte - ikke, hvor det kommer fra. Browserne skal se, om websitets adresse (URL) er magen til den, der er i SSL-certifikatet, men det gør de ikke.
Mike Benham fra thoughtcrime.org har fundet fejlen, der betyder, at blot man har et ægte SSL-certifikat, så kan man udgive sig for en anden, og brugerne opdager det ikke, for deres browsere alarmerer ikke.
Man kan faktisk udgive sig for hvem som helst, der bruger SSL. Mike Benham har vist, hvordan man kan snyde og for eksempel udgive sig for Amazon. For at misbruge fejlen, skal hackeren imidlertid også have omdirigeret trafikken fra for eksempel Amazon til sig selv (hijacke domænet). Den del har han ikke gjort, men det har andre hackere før demonstreret er muligt.
Microsofts Internet Explorer 5, 5.5 og 6 er ramt af sikkerhedshullet. Det samme skulle gælde for Konqueror, der bruges i Linux' KDE. Til gengæld skulle Netscape 4.x og Mozilla ikke være ramt.
