SSL (Secure Socket Layer), det mest utbredte systemet for kryptering på nettet, er ikke lenger trygt.
Trengte seg inn
På «Black Hat»-konferansen, som denne uka foregår i USAs hovedstad Washington DC, demonstrerte hackeren Moxie Marlinspike hvordan han ved hjelp av ny programvare og såkalte phishing-teknikker (der brukeren blir lurt av en falsk nettside) klarte å komme forbi SSL-systemet.
I tillegg demonstrerte han hvordan det er mulig å å stjele 16 kredittkortnumre, ta seg inn på 117 G-mailkontoer og trenge seg inn på 300 andre krypterte områder på nettet.
Hengelås nederst
Dette betyr at hengelås-symbolet som kommer til syne nederst til høyre i nettleseren din når du logger deg inn på en sikker side med https-adresse ikke lenger betyr at du er trygg.
Annonse
Marlinspike brukte gratisprogrammet «SSL Strip». Dette programmet legges inn i et nettverk som en «mellomstasjon» mellom SSL-forbindelsen og brukeren og bryter dermed sikkerhetskjeden som den hittil påstått sikre betalingen er avhengig av.
Lure-side
Adressene til vanlige nettsider åpner med «http», mens sider som skal transportere kryptert informasjon staves «https» der «s» står for «sikkerhet».
Ved hjelp av en falsk HTTPS-side kunne Marlinspike lure brukeren til å tro at hun eller han var på en sikker side.
Brukte PayPal
Hackeren hevder at han brukte sidene til betalingsselskapet PayPal for å få tak i informasjon. I tillegg skal han ha brukt Facebook, Gmail og verdens største billettformidler Ticetmaster.
Ved hjelp av disse svært utbredte tjenestene skal han ha tilegnet seg kontoopplysninger som gjør det mulig å logge seg inn på 117 e-postkontoer.
I tillegg klarte han etter eget utsagn å få tak i 16 kredittkortnumre, sku PayPal-kontoer og tilgang til 300 andre krypterte tjenester på nettet.
Kilde:
ITpro.co.uk
Annonse
