spacer.png, 0 kB
Volg Cursor via Twitter Volg Cursor via Facebook Cursor RSS feed
spacer.png, 0 kB

 spacer.png, 0 kB


“Dat is toch een jongensdroom, je eigen raceauto ontwerpen als afstudeerproject.”
Cursor in PDF formaatCursor als PDF
PrintE-mail Tweet dit artikel Deel dit artikel op Facebook

Team met TU/e’er legt zwakke plek in internetbeveiliging bloot
15 januari 2009 - Een team van onderzoekers, onder wie TU/e-docent cryptologie dr. Benne de Weger, heeft een zwakke plek gevonden in de internetbeveiliging. Het blijkt mogelijk vervalste digitale certificaten uit te geven die door alle gebruikelijke webbrowsers vertrouwd worden. Een combinatie van geavanceerde wiskunde en een cluster van tweehonderd spelcomputers bleek voldoende om dit voor elkaar te krijgen.

Behalve De Weger bevatte het team onderzoekers van het Centrum Wiskunde & Informatica (CWI) in Amsterdam, EPFL in Zwitserland en onafhankelijke onderzoekers in de VS. Uit hun werk blijkt dat het mogelijk is om beveiligde websites en mailservers na te bootsen en om vrijwel ondetecteerbare ‘phishing’-aanvallen te doen, waarbij naar gevoelige informatie wordt gehengeld. De onderzoekers presenteerden hun resultaten rond de jaarwisseling op het 25C3 securitycongres in Berlijn. Ze hopen daarmee te bereiken dat men betere beveiligingsstandaarden op het internet zal gebruiken.

Als iemand een website bezoekt waarvan het adres met ‘https’ begint, verschijnt er een klein hangslot-symbool. Dit geeft aan dat de website beveiligd is door middel van een digitaal certificaat, dat uitgegeven wordt door een van de vertrouwde Certificate Authorities (CA’s). Om er zeker van te zijn dat dit een authentiek digitaal certificaat is, verifieert de browser de digitale handtekening ervan met standaard cryptografische algoritmes. Het team van onderzoekers ontdekte dat een van deze algoritmes -MD5- vatbaar is voor misbruik.

De onderzoekers waren in staat een fictieve CA te creëren die door alle belangrijke webbrowsers vertrouwd wordt. Dit deden ze door gebruik te maken van geavanceerde wiskunde en een cluster van meer dan tweehonderd commercieel beschikbare spelcomputers. Ze hebben hiermee aangetoond dat een essentieel deel van de internet-infrastructuur niet veilig is. Een gebruiker kan bijvoorbeeld zonder het te weten naar een onbetrouwbare site geleid worden die er precies hetzelfde uitziet als de beveiligde bank- of e-commerce website die hij denkt te bezoeken. Zijn webbrowser kan dan een vervalst certificaat ontvangen dat ten onrechte vertrouwd wordt. Zo kunnen wachtwoorden en andere persoonlijke gegevens in verkeerde handen vallen.

Volgens De Weger is een belangrijk deel van het werk uitgevoerd door ir. Marc Stevens, die in 2007 bij hem afstudeerde en inmiddels als promovendus is verbonden aan het CWI. “In zijn afstudeerwerk heeft Marc een belangrijke basis gelegd voor dit resultaat. Daarvoor heeft hij afgelopen zomer nog de TU/e-afstudeerprijs gekregen.” De Weger vertelt dat een belangrijke producent van internetcertificaten, VeriSign, al enkele uren na de presentatie geen nieuwe certificaten op basis van de het gekraakte algoritme meer uitgaf. “Ze zijn direct overgeschakeld op de veiligere SHA-standaard. Daarmee is in principe het beveiligingsprobleem opgelost, want om kwaad te doen, moet je een nieuw certificaat aanvragen.”/.