Het gaat lekker met de veiligheid van onze wachtwoorden en inloggegevens. Vandaag ontdekten onderzoekers van Google een nieuw lek in SSL.
Een aanval op het SSL-netwerk werd afgelopen nacht uit de doeken gedaan in een nieuw verslag van Google. De aanval kreeg de naam POODLE met zich mee, wat staat voor Padding Oracle On Dawngraded Legacy Encryption. SSL 3.0 is het slachtoffer, een 18-jaar oude versie van de verbindingsbeveiliging. Bijna antiek in internetjaren dus, maar SSL 3.0 wordt nog steeds door veel websites en browsers gebruikt.
POODLE-hack
De POODLE-hack zorgt ervoor dat een beveiligde verbinding alsnog te onderscheppen valt. Door cookies op te vissen kunnen zo inloggegevens van e-mailaccounts en sociale media gevonden worden. Het slotje in je url-balk en het feit dat je op een veilige verbinding zit, maakt in dit geval dus niets uit.
POODLE is gelukkig wat minder gebruiksvriendelijk als de beruchte Heartbleed bug. Hackers moeten namelijk eerst toegang hebben tot het netwerk van de gebruiker. Dit kan bijvoorbeeld door een neppe wifi-hotspot op te zetten, in de hoop dat mensen erop inloggen. Zodra de SSL 3.0 verbinding gemaakt is, kunnen de hackers beginnen met het stelen van gegevens. Zo proberen ze zelfs je SSL-versie te downgraden, zodat ook nieuwere SSL-verbindingen alsnog vatbaar zijn voor de POODLE-hack.
Google zegt zelf dat Chrome sinds februari al veilig is voor dit soort downgrades. Middels het TLS_FALLBACK_SCSV protocol wordt deze manier van hacken voorkomen. Voordat het onderzoeksverslag van Google verscheen, werden bedrijven als Mozilla al op de hoogte gesteld. Zij zorgen er nu voor dat SSL 3.0 vanaf Firefox 34 niet meer ondersteund zal worden. Deze versie komt op 25 november uit.