Https-verbindingen blijken al jaren minder veilig dan gedacht, dankzij een antieke bug met de naam Freak. De bug is het resultaat van een in de jaren 90 opgeheven exportverbod van sterke encryptie van de Amerikaans overheid.
Deze ‘export-grade’-producten waren expliciet bestemd voor het buitenland, melden de ontdekkers van de bug op freakattack.com. Weliswaar zijn de restricties eind jaren ’90 van de vorige eeuw opgeheven, maar naar nu blijkt is de zwakkere encryptie nog steeds diep in courante software gebakken.
Gevolg is dat de onderzoekers via een downgrade-aanval browsers kunnen dwingen de zwakkere encryptie te gebruiken, en deze vervolgens in een aantal uren te kraken. Zo kunnen hackers makkelijk wachtwoorden en andere persoonlijke informatie stelen, en grote aanvallen op de websites uitvoeren. Het wordt zo makkelijk om elementen op een pagina over te nemen, zoals de ‘like’-knop van Facebook. En éénmaal gekraakt is voor altijd toegang.
Ongeveer een derde van de servers die HTTPS gebruiken ondersteunt gebruik van Freak nog steeds. Onder hen bevinden zich niet de minste: Nederlandse hostingbedrijven en ziekenhuizen, hogescholen, universiteiten, media, politieke partijen en webwinkels. Zelfs PayPal en American Express gebruiken het nog.
Wanneer kwetsbaar?
Een connectie is volgens de onderzoekers kwetsbaar als de server ‘RSA_EXPORT’-coderingen gebruikt en de client een ‘RSA_EXPORT’ aanbiedt, danwel een versie van OpenSSL gebruikt die kwetsbaar is voor CVE-2015-0204 . Veel Google- en Apple-apparaten kunnen zodoende onveilig zijn, vanwege het gebruik van OpenSSL.
Op freakattack.com is te zien welke servers aangetast zijn. Veel sites melden wel inmiddels hard aan het werk te zijn om de gewraakte cijfermodule uit te schakelen.
