Nieuw SSL lek POODLE

Er is weer een groot lek in SSL gevonden. Onderzoekers van Google ontdekte in een oude

versie van SSL een lek waarmee inloggegevens makkelijk kunnen worden onderschept. Het betreft een lek in SSL 3.0, de inmiddels 18 jaar oude versie van het SSL protocol. Ondanks de leeftijd van SSL 3.0 wordt deze versie nog steeds door veel verschillende browsers en websites ondersteund, waardoor het nieuwe lek een groot probleem is.

Nieuwe SSL lek is geen Heartbleed 2.0

Middels het nieuwe SSL lek kunnen kwaadwillenden beveiligd verkeer onderscheppen en uitlezen. Het is mogelijk om cookies te stelen die de logins van gebruikers bevatten. Kwaadwillenden krijgen middels dit nieuwe SSL lek dus toegang tot onder andere email en social media accounts van hun slachtoffers.
Het is voor gebruikers niet zichtbaar dat ze slachtoffer zijn, in de URL balk is het bekende slotje en https:// te zien, waardoor men denkt veilig te zijn.

POODLE aanval

Het type aanval dat misbruik kan maken van het lek heeft de naam POODLE gekregen.
POODLE staat voor ‘Padding Oracle On Downgraded Legacy Encryption’.
Het is middels een POODLE aanval mogelijk om de nieuwste browsers te dwingen om terug te vallen op SSL 3.0 Pas nadat een browser is teruggevallen op SSL 3.0 is het mogelijk om het nieuwe lek echt te misbruiken.

Kwaadwillenden moeten wel op hetzelfde netwerk zitten als hun slachtoffer om het lek te exploiteren. Het is dus ook mogelijk om het nieuwe SSL lek te misbruiken door onwetende slachtoffers gebruik te laten maken van een onbetrouwbare WiFi-spot.

Controleer je browser op kwetsbaarheid!

httpsHet is zeer waarschijnlijk dat je huidige browser, die je op dit moment gebruikt, kwetsbaar is voor het nieuwe SSL lek.
Je kan dat hier controleren. Indien je een poedel ziet verschijnen, weet je dat je huidige browser niet veilig is.
Als je weet dat je kwetsbaar bent voor het lek, is het mogelijk om daar snel wat aan te doen.

Firefox
Firefox heeft een addon uitgebracht die SSL 3 helemaal uitschakelt.
Download de addon en installeer deze. Indien je SSL 3 niet wilt verwijderen, kan je in de about:config van Firefox de waarde van ‘security.tls.version.min’ naar 1 veranderen.

Internet Explorer 7 en hoger
In Internet Explorer 7 en hoger kan je SSL 3 het beste gewoon uitzetten.
Doe dit onder het tabblad ‘Geavanceerd’ en schakel ‘SSLv3′ uit.
Als je Internet Explorer 6 of lager gebruikt is het nu echt tijd om eindelijk te updaten naar een nieuwere versie.

Google Chrome
In Chrome kan je SSL 3 uitschakelen via de commandline, voeg ‘–ssl-version-min=tls1′ toe aan de Chrome executable.

Hostingbedrijven moeten patchen

Heartbleed was een enorm SSL lek, dat met name hostingbedrijven zwaar trof.
Dit nieuwe SSL lek is niet te vergelijken met het Heartbleed debacle, hostingbedrijven worden gelukkig niet getroffen.
Wel moeten hostingbedrijven het lek patchen, middels Directadmin kan dat vrij makkelijk.

Nadat Google enige tijd geleden bekent maakte dat websites die middels SSL beveiligd zijn voorrang krijgen in de zoekresultaten, is de vraag naar SSL certificaten explosief toegenomen. Hostingbedrijven hebben in de afgelopen maanden een enorme hoeveelheid certificaten verstrekt. Er zijn in de laatste maanden dus veel meer websites bijgekomen die gebruik maken van SSL.