Op de Black Hat conferentie in Las Vegas hebben Belgische securityonderzoekers aangetoond hoe je ondanks een beveiligde HTTPS-verbinding toch gevoelige gegevens onderschept.
Het gaat om het HEIST-lek, wat staat voor HTTP Encrypted Information can be Stolen Through TCP-Windows. Tom Van Goethem en Mathy Vanhoef, twee PhD-studenten aan de KU Leuven, demonstreren op de Black Hat hackersconferentie hoe je met de techniek beveiligde verbindingen alsnog omzeilt.
De data die kan worden onderschept hangt af van de situatie. Maar het kan bijvoorbeeld gaan om inloggegevens, persoonsgegevens uit webformulieren, e-mailadressen of andere data die ergens wordt ingevuld en doorgegeven aan een website.
HEIST kan worden uitgevoerd door een JavaScript-bestand in de webpagina te plaatsen, of in een advertentie die op de pagina wordt getoond (een vaak voorkomende methode omdat hun beveiliging soms makkelijker te kraken valt). Als een slachtoffer de website bezoekt, kan er zo een reeks pagina’s worden opgevraagd die normaal worden beschermd door beveiligingsprotocols als SSL of TLS.
Kort samengevat misbruikt HEIST de manier waarop het antwoord van een site via HTTPS wordt afgeleverd.
Uniek is het onderscheppen van HTTPS-verkeer niet, maar doorgaans loopt dat via een zogenaamde man-in-the-middle attack. Daarbij heeft de hacker/crimineel in kwestie bijvoorbeeld controle over de internetverbinding, bijvoorbeeld door een open wifi-netwerk aan te bieden. “HEIST maakt een aantal aanvallen veel makkelijker om uit te voeren”, vertelt Van Goethem aan Ars Technica.
De Belgische onderzoekers hebben nog voor hun presentatie wel al Microsoft en Google ingelicht. Vermoedelijk zullen zij in de nabije toekomst maatregelen nemen om het lek te voorkomen. Wie zelf het zekere voor het onzekere wil nemen kan best third-party cookies uitschakelen in de instellingen van de browser al kan dat de werking van sommige sites wel verstoren.
Hier kan je de presentatie op Black Hat en bijhorende whitepaper over HEIST nalezen.
Fout opgemerkt of meer nieuws? Meld het hier