Artikel top billede

Sådan bryder hackere internet-kryptering

Beast er et exploit udviklet af sikkerheds-researchere for at bryde den kryptering, som bliver brugt af de fleste browsere og hjemmesider.

Læs mere:
Den ultimative sikkerhedsguide til Windows 7

DK-CERT: Krypteret Google-søgning har lille effekt

Computerworld News Service: Datakryptering er internetsikkerhedens hjørnesten.

Hver gang du logger på din e-mail eller på en internetbutik som for eksempel Amazon, så etablerer din browser sandsynligvis en sikker forbindelse til serveren ved hjælp af krypteringsteknologien TLS (Transport Layer Security).

TLS blev skabt i 1999 som en forbedring af SSL (Secure Socket Layer) 3.0-krypteringen, og TLS 1.0 bliver nu anvendt som en del af HTTPS-krypteringen og er i det hele taget blevet web-standard for datakryptering.

Næsten alle hjemmesider og browsere bruger TLS til at sikre de informationer, som bliver sendt frem og tilbage mellem hjemmesiden og dig, men nu påstår sikkerheds-researcherne Thai Duong og Juliano Rizzo, at de har brudt TLS 1.0-krypteringen ved hjælp af en såkaldt 'traffic sniffer' og en simpel JavaScript-kode.

Thai Duong og Juliano Rizzo gennemførte en live-demonstration af exploiten, der har fået kodenavnet BEAST (Browser Exploit Against SSL/TLS), under sikkerhedskonferencen Ekoparty i Buenos Aires i midten af september.

Selv om detaljerne i angrebet er meget tekniske, så ved vi dog nu, at det starter med en bid JavaScript-kode, som inficerer browseren, når man klikker sig ind på et mistænkeligt link eller besøger en ondsindet hjemmeside.

Når Beast inficerer en browser, begynder den at overvåge det data, du udveksler med krypterede hjemmesider. Den indsætter blokke af ren tekst i datastrømmen og forsøger derefter at dekryptere de kendte tekstblokke ved hjælp af gode gæt i forhold til krypteringsnøglen.

Når der er gået lidt tid (omkring fem til ti minutter, er vurderingen i den rapport, som Thai Duong har sendt til The Register), vil Beast uundgåeligt gætte rigtigt og bryde koden på en byte krypteret data, hvorefter den kan bruge data til at baglæns analysere sig frem til krypteringsnøglen og dekryptere fortrolige data i den session-cookie, der ligger gemt på din computer.

Det er en tidskrævende proces, der udnytter en kendt sårbarhed i SSL 3.0/TLS 1.0-krypteringen.

Inden den offentlige demonstration tog researcherne det ansvarlige skridt at informere udviklerne af populære browsere som Firefox og Internet Explorer, og forhåbentligt vil den omtale, som har omgivet sårbarheden, få flere server- og browser-udviklere til at opgradere deres krypteringssystemer, så de kan udnytte nyere protokoller som TLS 1.1 eller 1.2, som begge, i hvert fald i teorien, er immune over for plain text-angreb som Beast.

Microsoft har allerede lovet at rette Windows for at beskytte brugerne mod Beast, og Kurt Baumgartner fra Kaspersky Lab tror ikke, at brugerne af Chrome har grund til at bekymre sig, eftersom Chromium-kildekoden blev rettet for at beskytte imod den form for exploit allerede for tre måneder siden.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
BI Excellence Day 2025

Kom og få indsigt i, hvordan du kan arbejde målrettet og struktureret med BI, så din virksomhed bliver i stand til at tage hurtige og datadrevne beslutninger, der understøtter din virksomheds strategi. Netværk og del erfaringer med ligesindede og mød eksperter, der kan give viden om de nyeste tendenser, og hvordan du gør brug af disse uden at gå på kompromis med compliance.

30. april 2025 | Læs mere


Cyber Briefing: Geopolitik og cloud

Private vs. public cloud - hybride løsninger der sikrer kritiske data. Overvejer din organisation at vende de amerikanske cloud-giganter i ryggen set i lyset af den geopolitiske situation? Vi dykker ned i en dugfrisk rapport og diskuterer mulighederne for en "Plan B".

05. maj 2025 | Læs mere


Virksomhedsplatforme i forandring: Hvordan navigerer du i den teknologiske udvikling?

Hvordan finder du balancen mellem cloud- og hybride løsninger? Hvordan integrerer du legacy-applikationer ind i dit nye ERP-setup? Hvordan undgår du at havne i statistikken over store ERP-projekter, der fejler eller overskrider budgetterne?

06. maj 2025 | Læs mere