Nyt sikkerhedshul i gammel webprotokol omgår kryptering

Hackere kan bruge et sikkerhedshul i SSL 3.0 til at tilgå krypterede forbindelser. SSL 3.0 er forældet, men det er muligt at tvinge browseren til at bruge det.

Tre Google ingeniører har demonstreret, at krypteringsstandarden standard Secure Socket Layer 3.0 kan omgås takket være en nyligt opdaget sårbarhed, som de tre har døbt POODLE. (Padding Oracle On Downgraded Legacy Encryption - se beskrivelse i PDF her)

Angiveligt er det en design-fejl, der er gået mere eller mindre upåagtet hen i op mod 15 år, skriver The register.co.uk

Den dårlige nyhed er, at de tre mener fejlen er umulig at udbedre og svær at opdatere sig ud af.

Læs også: Sikkerhedshullet, der er ældre end www

SSL 3.0 er en del af den stak af krypteringsprotokoller, der bliver brugt til at kryptere vores forbindelse, når vi betaler med kreditkort på nettet eller logger på netbanken og andre følsomme steder på nettet, uden at blive overvåget af andre brugere.

I dag bruges SSL 3.0 ikke længere som standard protokol. I stedet anvendes TLS, men en hacker kan få computerens browser til at gå tilbage til SSL 3.0 ved at fremprovokere et forbindelsesproblem mellem browseren og serveren.

Den gode nyhed er ifølge Cnet, at mindre end 0,3 procent af kommunikationen mellem hjemmeside og server afhænger af SSL 3.0. Derfor forudsætter effektiv udnyttelse af sikkerhedshullet umiddelbart, at hackeren kan kontrollere en del af netværket mellem brugeren og serveren.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere