Kort nieuws

Wachtwoord te ontfutselen uit versleutelde webverbinding

Pieter Edelman
Leestijd: 2 minuten

Volgens de Nederlander Guido Vranken is het mogelijk om versleutelde wachtwoorden en andere informatie uit https-verkeer te peuteren. Hij heeft zijn aanpak ‘bicycle attack’ gedoopt, naar de werking van de methode; als je een fiets inpakt in een kleed, verberg je wel details, maar je ziet nog steeds dat het een fiets is. Evengoed hoef je niet per se bij de inhoud van versleuteld webverkeer te kunnen om er iets over te weten te komen.

Https is het protocol om beveiligd met websites te communiceren. Het protocol verstuurt standaard http-verkeer over een eveneens standaard tls-verbinding voor versleutelde gegevensoverdracht. Een aanvaller die het verkeer afluistert, kan daarom niet zien welke gegevens de bezoeker en de website uitwisselen.

Bij sommige tls-instellingen komt de lengte van de versleutelde boodschap echter overeen met de lengte van het originele bericht. Daardoor kan hij achterhalen hoeveel bytes de browser naar de webserver verstuurt. Daarmee kan de lengte van bijvoorbeeld een wachtwoord worden achterhaald, stelt Vranken. Wachtwoorden worden verzonden als onderdeel van het verzoek dat de browser opstuurt. Wanneer de aanvaller wat informatie over de bezoeker heeft, is de rest van dat verzoek makkelijk te reconstrueren; welke bestanden worden opgevraagd, welke browser gebruikt wordt, en dergelijke. Daardoor weet de aanvaller hoeveel bytes er aan de standaard informatie besteed worden. Het verschil is de lengte van de het wachtwoord. Die informatie zal het vaak mogelijk maken om het wachtwoord te bruteforcen.

This article is exclusively available to premium members of Bits&Chips. Already a premium member? Please log in. Not yet a premium member? Become one and enjoy all the benefits.

Login

Related content