Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/9/2011
Sikkerhedsforskere har vist, at et kendt sikkerhedshul i SSL/TLS kan udnyttes til at give angribere adgang til fortrolig information. Men hullet er svært at udnytte i praksis.Sårbarheden findes i protokollerne SSL 3.0 (Secure Sockets Layer) og TLS 1.0 (Transport Layer Security). De anvendes til at kryptere webkommunikation.
Sikkerhedsforskerne Juliano Rizzo og Thai Duong har for nylig demonstreret værktøjet BEAST, der for første gang gør det muligt at udnytte sårbarheden i praksis.
Sårbarheden giver en angriber mulighed for at blande sig i en krypteret kommunikation mellem en browser og en server. På den måde kan man for eksempel opsnappe en krypteret cookie, der giver adgang til et beskyttet område på serveren.
Fejlen er for længst rettet. Den findes ikke i TLS 1.1 eller senere versioner, og der findes en rettelse til SSL 3.0 og TSL 1.0. Sårbarheden findes kun i blokbaserede krypteringsalgoritmer.
Men de rettede versioner er ikke udbredte. De fleste systemer på nettet kører fortsat med de gamle versioner.
Sikkerhedsforsker Eric Rescorla vurderer, at forskernes opdagelse er interessant. Men den betyder ikke, at SSL eller TLS er fuldstændig ødelagt.
Microsoft har udsendt en advarsel om sårbarheden. Virksomheden understreger, at mange tekniske forhold skal være på plads, før en angriber kan udnytte den.
Anbefaling
Administratorer af webservere bør ændre opsætningen, så de prioriterer ikke-blokbaserede krypteringsalgoritmer såsom RC4 frem for blokbaserede som AES.