Værktøj udnytter svaghed i VPN

Artiklen blev oprindeligt publiceret den 31/7/2012

Et nyt værktøj udnytter en kendt svaghed i den kryptering, der sikrer VPN (virtuelle private netværk) og trådløse netværk. Dermed kan man på et døgn knække krypteringen.

Svagheden ligger i autentifikationsprotokollen MS-CHAP v2, som er Microsofts udgave af CHAP (Challenge-Handshake Authentication Protocol). Den har været kendt i flere år.

Nu har sikkerhedsforsker Moxie Marlinspike udsendt værktøjet Chapcrack, der udnytter sårbarheden til at reducere sikkerheden til en enkelt nøgle af DES-typen (Data Encryption Standard).

Når det er sket, kan man aflevere det krypterede indhold til en cloud-baseret tjeneste. I løbet af et døgn kan den knække koden, så man får fat i DES-nøglen. Herefter kan man aflytte kommunikationen. Det vil koste omkring 200 dollars, skriver CNET.

MS-CHAP v2 bruges til at beskytte VPN'er af typen PPTP (Point-to-Point Tunneling Protocol). Den indgår også i Enterprise-udgaven af den trådløse sikkerhedsteknologi WPA (Wi-Fi Protected Access).

Anbefaling
Overvej alternativer til MS-CHAP.

Links

• Tools boast easy cracking of Microsoft crypto for businesses, artikel fra CNET
• Chapcrack
• Tools released at Defcon can crack widely used PPTP encryption in under a day, artikel fra Network World