Hackers kraken het internetslot

Een aantal Nederlandse en Amerikaanse onderzoekers hebben het belangrijkste beveiligingssysteem, het SSL-certificaat voor internetsites, gekraakt. Zo is op Webwereld te lezen. De kraak vergroot het risico op grootschalige fraude.

Het onderzoek is dinsdag gepresenteerd op het Chaos Communication Congress, dat jaarlijks in Berlijn wordt gehouden.

De onderzoekers van het Nederlandse Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de TU Eindhoven en onafhankelijke security-onderzoekers in Californië bouwden voor deze demonstratie een eigen zogenaamde Certificate Authority (CA). Een cluster van tweehonderd Playstation 3-spelcomputers leverde de nodige rekenkracht voor de aanval.

Door het vervalsen van een Certificate Authority, een instantie die digitale veiligheidscertificaten uitgeeft voor websites, zijn hackers, maar dus ook criminelen, in staat om iedere website te voorzien van een SSL-certificaat, het bekende ‘slotje‘ onderaan de webbrowser.

De hackers kochten zelf voor veel geld certificaten in en achterhaalden zodoende het mechanisme om eigenhandig foutieve certificaten van een handtekening te voorzien. Door de digitale-handtekeningen na te maken, kunnen hackers zelf gemaakte certificaten uitgeven, terwijl browsers niet doorhebben dat ze geigenlijk gefopt worden omdat het om een kloon gaat. Op deze manier kunnen malafide websites zich voordoen als veilig. Met alle gevolgen van dien.

Onder meer banken en webshops maken gebruik van dergelijke certificaten. Deze websites zijn herkenbaar aan de aanduiding https in de adresbalk.