Hacker brøt SSL-låsen

Hackere finner stadig nye måter å bryte sikkerhetssystemer, og nå er det SSL-krypteringen som står for tur.

Under hackerkonferansen Black Hat i Washington DC, presenterte hackeren Moxie Marlinspike et verktøy han kaller SSLstrip. Med dette skal han ha klart å få informasjon fra brukere på alt fra Gmail og Facebook til Paypal og Ticketmaster.

- Angrepet er, så vidt jeg kan se, ganske nyskapende og kult, sier forskeren Dan Kaminsky, som var tilstede på Black Hat, til The Register.

- Budskapet i Moxies tale er noe mange har snakket om lenge: SSL fungerer ikke særlig bra.

LES OGSÅ: Tviler på uknekkbar kryptering

Ved å bruke sitt verktøy klarte han å fiske informasjon ut av sine ofre.

For at brukerne skal vite at de er på en sikker side, endres nettadressen til https:// når krypteringen er i gang. SSLStrip er en proxy, som lar hackeren endre denne adressen til nettopp dette, selv om ikke krypteringen er aktiv, fordi man slett ikke er på den siden man tror.

Dermed lures både nettleseren og brukeren til å tro at man er inne på den sikre siden, mens det i virkeligheten foregår helt andre ting, og en mellommann sitter og ser alt som foregår.

Ettersom de aller fleste sider først åpner ukryptert, for så å la brukeren gå inn på for eksempel en kryptert login-skjerm, skal dette være mulig.

LES OGSÅ: Åpen kryptering fra Google

Teknikken har blitt testet i Firefox og Safari. Av en eller annen grunn har han ikke prøvd seg på den desidert største nettleseren, Internet Explorer, men han regner med at det hele fungerer på samme måte her.

Et intervju med hackeren som står bak teknikken kan du se under.