Bron foto: shutterstock.com

Het is wel degelijk mogelijk om via een beveiligde HTTPS-verbinding gevoelige gegevens te onderscheppen. Dat bewezen Tom Van Goethem en Mathy Vanhoef, twee doctoraatsstudenten aan de KU Leuven, op de Black Hat conferentie in Las Vegas. 

HEIST-lek

Concreet gaat het om "HTTP Encrypted Information can be Stolen Through TCP-Windows" of eenvoudiger gezegd: het HEIST-lek. Hackers kunnen daarmee het HTTPS-verkeer onderscheppen van internetgebruikers, en zo gevoelige data als paswoorden, persoonlijke gegevens uit webformulieren blootleggen. 

HEIST wordt uitgevoerd via een onschuldige advertentie op een website, of door een JavaScript-bestand in een pagina te plaatsen. Slachtoffers kunnen dan makkelijk in de val lopen door gewoon de website te bezoeken, waarna een reeks gevoelige data wordt opgevraagd die normaal worden beschermd door beveiligingsprotocols zoals SSL en TLS.

De hacktechniek werd afgelopen week door de Leuvense doctoraatsstudenten gedemonstreerd op de securityconferentie Black Hat conference in Las Vegas. Er werd onder andere getoond hoe een kwaadaardige advertentie op de website van The New York Times heel wat schade kan aanrichten (zie afbeelding). 

heist new york times

Gemakkelijker persoonlijke gegevens stelen

Het hacken van HTTPS-verkeer is niet bepaald een onbekend fenomeen. Echter: in tegenstelling tot andere hackmethodes behoeft HEIST geen 'man-in-the-middle', waarbij hackers gewoonlijk controle krijgen over de internetverbinding van de eindgebruiker.

"Eigenlijk maakt HEIST het voor hackers een pak gemakkelijker om cyber-aanvallen uit te voeren", vertelt Tom Van Goethem, een van de twee onderzoekers, aan Ars Technica. "Nu hoef je als gebruiker enkel een gewoon uitziende website te bezoeken die zonder dat je het weet gegevens ophaalt." 

Van Goethem voegde daar wel aan toe dat het uitschakelen van third-party cookies de enige manier is om jezelf in te dekken tegen de attack. De kanttekening die we daarbij kunnen maken, is dat sommige websites hierdoor wel minder goed kunnen functioneren. 

Google en Microsoft al op de hoogte

Voordat de heren naar de Black Hat conferentie trokken, hebben ze Microsoft en Google al op de hoogte gebracht van het HEIST-lek. 

Of de twee techgiganten onmiddellijk maatregelen zullen treffen, valt af te wachten. Het uitvoeren van een HEIST-aanval brengt immers flink wat techneutenwerk met zich mee, waardoor het niet zeker is of de aanvallen op grote schaal zullen plaatsvinden. 

Een whitepaper met hun bevindingen kan je hier terugvinden. 

Bron: arstechnica.com