Afgelopen week werd de 2009-editie van de Black Hat DC-hackersconferentie gehouden. Op de conferentie werd pijnlijk duidelijk dat veel systemen nog lang niet veilig zijn. Hoogtepunten van de conferentie waren een hack voor een gezichtsherkenningssysteem van Toshiba, Lenovo en ASUS, een methode om je sporen uit te wissen na een aanval op een Mac en een stille aanval op HTTPS-dataverkeer.
Gezichtsherkenningssystemen eenvoudig te misleiden
Vingerafdrukscanners op een laptop zijn geen noviteit meer en een aantal fabrikanten heeft zich inmiddels begeven op de techniek voor gezichtsherkenning. Onder andere Toshiba, Lenovo en ASUS passen deze techniek toe op een aantal van hun laptops. Middels de ingebouwde webcam wordt het gezicht van de gebruiker gescand en middels herkenningsoftware vergeleken met het gezicht in het systeem. Omdat gezichten uniek zijn lijkt de techniek een goede vervanging voor het traditionele wachtwoord.
Niets is echter minder waar, zo bleek na een demonstratie van de Vietnamese onderzoeker Minh Duc Nguyen. De manier waarop Nguyen het systeem weet te misleiden is kinderlijk eenvoudig. Hij ontdekte namelijk dat het systeem niet goed onderscheid kan maken in 3D- en 2D-afbeeldingen, waardoor het mogelijk is om afbeeldingen van de eigenaar van het internet te halen en deze voor de webcam te houden. In een aantal gevallen werd de foto door het systeem succesvol gematched aan de foto in de database.
"Ons onderzoek laat zien dat alledrie de fabrikanten deze kwetsbaarheid in hun systeem hebben. Hoewel ze een aantal technische aanpassingen hebben gedaan om het systeem minder kwetsbaar te maken, hebben ze het niet volledig kunnen oplossen. Zoals we op de Black Hat-conferentie hebben aangetoond is deze methode van beveiliging niet goed genoeg om de computers te beveiligen", aldus Nguyen.
Onopgemerkt code uitvoeren in Mac OS X
De tweede grote presentatie op de conferentie was die van de Italiaan Vincenzo Iozzo, hij demonstreerde een methode om onopgemerkt code uit te voeren in het Mac OS X-geheugen. Om de hack te laten werken moet er wel gebruik gemaakt worden van een bekend en bevestigd lek in Mac OS X. Hoewel Apple het lek nog niet heeft verholpen kunnen systeembeheerders wel zelf actie ondernemen om het lek te dichten.
Volgens Iozzo zijn er aantal zaken belangrijk voor een succesvolle aanval, waaronder onopgemerkt blijven, het uitvoeren van code die niet op de machine aanwezig is en geen bewijs achterlaten op de harde schijf. "Mijn techniek lost deze problemen gedeeltelijk op", aldus Iozzo. "Sterker nog, de hele aanval wordt in het geheugen uitgevoerd, waardoor het niet meer te achterhalen is wat er gebeurd is, nadat de computer uitgezet is. Mijn techniek laat het daarnaast ook toe om code die niet aanwezig is op het systeem te injecteren en uit te voeren, waardoor ook het tweede probleem opgelost is."
Het derde probleem heeft Iozzo nog niet helemaal opgelost. Om de code uit te voeren moet er een zogenaamde system call gemaakt worden, waarbij het besturingssysteem gevraagd wordt een bepaalde actie uit te voeren. Volgens Iozzo is het mogelijk dat deze actie opgemerkt wordt door beveiligingsapplicaties op het systeem.
Onderscheppen wijzigen en opslaan van HTTPS-dataverkeer
De derde belangrijke presentatie handelde om de applicatie SSLstrip, dat ontwikkeld is door onafhankelijk onderzoeker Moxie Marlinspike. Met de tool is het mogelijk om een aanval uit te voeren op HTTPS-verkeer, waarbij het verkeer onderschept, aangepast en opgeslagen kan worden.
In de praktijk houdt dat in dat internetters misleid kunnen worden door ze te laten denken dat ze op een beveiligde online bank-pagina zijn, terwijl dat niet zo is. De aanval is niet helemaal onzichtbaar, oplettende internetters zouden kunnen zien dat ze ineens op een normale HTTP-pagina in plaats van een HTTPS-pagina zitten. Desondanks legt de tool een fundamenteel probleem in het HTTPS-protocol bloot.
"Het probleem is dat de meeste mensen HTTPS gebruiken via HTTP. De meeste mensen komen op een beveiligde pagina door op een link te klikken of worden doorgestuurd. Op beide punten kan een aanval uitgevoerd worden. Het komt er op neer dat we een beveiligd protocol hebben dat eigenlijk afhankelijk is van een onveilig protocol", aldus
Marlinspike.
21 uur geleden
