Technische Universiteit Eindhoven

Zwakke plek in internetbeveiliging blootgelegd

Geplaatst: 06 januari, 2009

Onderzoekers van onder meer de TU/e hebben een zwakke plek gevonden in de internetbeveiliging. Het blijkt mogelijk vervalste digitale certificaten uit te geven die door alle gebruikelijke webbrowsers vertrouwd worden. Ze gebruikten hiervoor een cluster van 200 spelcomputers en geavanceerde wiskunde.

Het team bestaat uit onderzoekers van het Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland, de Technische Universiteit Eindhoven (TU/e) en onafhankelijke onderzoekers in de VS. Uit hun werk blijkt dat het mogelijk is om beveiligde websites en mailservers na te bootsen en om vrijwel ondetecteerbare 'phishing' aanvallen te doen. De onderzoekers presenteerden hun resultaten afgelopen week op het 25C3 securitycongres in Berlijn. Ze hopen daarmee te bereiken dat betere beveiligingsstandaarden op het internet gebruikt worden.

Als iemand een website bezoekt waarvan het adres met 'https' begint, verschijnt er een klein hangslot-symbool. Dit geeft aan dat de website beveiligd is door middel van een digitaal certificaat, dat uitgegeven wordt door een van de vertrouwde Certificate Authorities (CAs). Om er zeker van te zijn dat dit een authentiek digitaal certificaat is, verifieert de browser de digitale handtekening ervan met standaard cryptografische algoritmes. Het team van onderzoekers ontdekte dat een van deze algoritmes MD5 vatbaar is voor misbruik.

De onderzoekers, waaronder TU/e-docent cryptologie dr. Benne de Weger, hebben ontdekt dat het mogelijk is om een fictieve CA te creëren die door alle belangrijke webbrowsers vertrouwd wordt. Dit deden ze door gebruik te maken van geavanceerde wiskunde en een cluster van meer dan tweehonderd commercieel beschikbare spelcomputers.

De onderzoekers hebben hiermee aangetoond dat een essentieel deel van de internet-infrastructuur niet veilig is. Een gebruiker kan bijvoorbeeld zonder het te weten naar een onbetrouwbare site geleid worden die er precies hetzelfde uitziet als de beveiligde bank- of e-commerce website die hij denkt te bezoeken. Zijn webbrowser kan dan een vervalst certificaat ontvangen dat ten onrechte vertrouwd wordt. Zo kunnen wachtwoorden en andere persoonlijke gegevens in verkeerde handen vallen.

Belangrijke browser- en internetbedrijven zoals Mozilla en Microsoft zijn geïnformeerd over de ontdekking. Sommigen hebben al maatregelen genomen om hun gebruikers beter te beschermen, laat Arjen Lenstra van EPFL weten.