Hackers kraken geavanceerde sloten

De onderzoekers Robert Hansen en Josh Sokol richtten zich bij dit onderzoek op de kleine sporen die browsers achterlaten als gebruikers met behulp van SSL beveiligd surfen op internet. Hackers kunnen die spoortjes volgen. Daarbij kunnen ze informatie vinden als browserintstellingen of het aantal webpagina’s dat de gebruiker heeft bezocht. Maar ook is zo informatie te vinden over of iemand bijvoorbeeld kwetsbaar is voor cookies die gebruikersnamen en passwords opslaan, wat vervolgens misbruikt kan worden.

Hansen en Sokol toonden 24 technieken waarmee SSL kan worden misbruikt. Hun advies is een speciale browser te gebruiken voor het browsen van gevoelige informatie.

Uit onderzoek van Qualys, dat eveneens werd gepresenteerd tijdens Black Hat, blijkt dat 60 procent van de websites die zich baseren op SSL, niet goed zijn geconfigureerd. Daarvoor onderzocht Qualys 120 miljeon geregistreerde domeinnamen. Daarvan ondersteunen 20 miljoen SSL, maar slechts 38 procent is goed geconfigureerd. Bovendien gebruikt de helft SSLv2, een oudere versie van SSL die te boek staat als weinig veilig.