Læs mere:
Den ultimative sikkerhedsguide til Windows 7
DK-CERT: Krypteret Google-søgning har lille effekt
Computerworld News Service: Datakryptering er internetsikkerhedens hjørnesten.
Hver gang du logger på din e-mail eller på en internetbutik som for eksempel Amazon, så etablerer din browser sandsynligvis en sikker forbindelse til serveren ved hjælp af krypteringsteknologien TLS (Transport Layer Security).
TLS blev skabt i 1999 som en forbedring af SSL (Secure Socket Layer) 3.0-krypteringen, og TLS 1.0 bliver nu anvendt som en del af HTTPS-krypteringen og er i det hele taget blevet web-standard for datakryptering.
Næsten alle hjemmesider og browsere bruger TLS til at sikre de informationer, som bliver sendt frem og tilbage mellem hjemmesiden og dig, men nu påstår sikkerheds-researcherne Thai Duong og Juliano Rizzo, at de har brudt TLS 1.0-krypteringen ved hjælp af en såkaldt 'traffic sniffer' og en simpel JavaScript-kode.
Thai Duong og Juliano Rizzo gennemførte en live-demonstration af exploiten, der har fået kodenavnet BEAST (Browser Exploit Against SSL/TLS), under sikkerhedskonferencen Ekoparty i Buenos Aires i midten af september.
Selv om detaljerne i angrebet er meget tekniske, så ved vi dog nu, at det starter med en bid JavaScript-kode, som inficerer browseren, når man klikker sig ind på et mistænkeligt link eller besøger en ondsindet hjemmeside.
Når Beast inficerer en browser, begynder den at overvåge det data, du udveksler med krypterede hjemmesider. Den indsætter blokke af ren tekst i datastrømmen og forsøger derefter at dekryptere de kendte tekstblokke ved hjælp af gode gæt i forhold til krypteringsnøglen.
Når der er gået lidt tid (omkring fem til ti minutter, er vurderingen i den rapport, som Thai Duong har sendt til The Register), vil Beast uundgåeligt gætte rigtigt og bryde koden på en byte krypteret data, hvorefter den kan bruge data til at baglæns analysere sig frem til krypteringsnøglen og dekryptere fortrolige data i den session-cookie, der ligger gemt på din computer.
Det er en tidskrævende proces, der udnytter en kendt sårbarhed i SSL 3.0/TLS 1.0-krypteringen.
Inden den offentlige demonstration tog researcherne det ansvarlige skridt at informere udviklerne af populære browsere som Firefox og Internet Explorer, og forhåbentligt vil den omtale, som har omgivet sårbarheden, få flere server- og browser-udviklere til at opgradere deres krypteringssystemer, så de kan udnytte nyere protokoller som TLS 1.1 eller 1.2, som begge, i hvert fald i teorien, er immune over for plain text-angreb som Beast.
Microsoft har allerede lovet at rette Windows for at beskytte brugerne mod Beast, og Kurt Baumgartner fra Kaspersky Lab tror ikke, at brugerne af Chrome har grund til at bekymre sig, eftersom Chromium-kildekoden blev rettet for at beskytte imod den form for exploit allerede for tre måneder siden.
Oversat af Marie Dyekjær Eriksen
