AMSTERDAM - Oplichters kunnen nagebootste websites gemakkelijk voor echt laten doorgaan. Onderzoekers hebben aangetoond dat vertrouwde websites niet goed op echtheid te controleren zijn.

Dat kan door een fictieve identiteitsprovider op te zetten. Hierdoor kunnen oplichters nepsites voor echt laten doorgaan en bijvoorbeeld een webwinkel of bank nabootsen.

Voor veilig internetten wordt bij de versleuteling van het internet verkeer ook gecontroleerd of de browser op de juiste website is. Hiertoe beschikken beveiligde websites over digitale certificaten die zijn voorzien van een elektronische handtekening.

Webbrowser foppen

De webbrowser controleert of een website authentiek is bij een zogenaamde Certificate Authority, die daarvoor een elektronische handtekening afgeeft. Onderzoekers zijn er in geslaagd om die ondertekening te vervalsen met behulp van md5, een veelgebruikte methode om controlegetallen te maken.

Het gevolg is dat een browser een met een slotje beveiligde website aanmerkt als authentiek. Dit opent de deur voor criminelen om websites te bouwen, die veilig lijken, maar dat niet zijn. Om dat voor elkaar te krijgen zal ook gewerkt moeten worden met malware, kwaadaardige mail of een andere aanval moeten worden uitgevoerd.

Niet nieuw

De aanval op het md5-mechanisme is niet nieuw. De eerste signalen dat het niet goed zat met de techniek kwamen al in 2005, terwijl in 2007 daadwerkelijk is gedemonstreerd hoe een aanvaller met andere gegevens precies dezelfde handtekening kan demonstreren. Het advies was toen al om overstappen op veiligere mechanismen.

De wetenschappers hebben nu aangetoond dat die aanval te misbruiken is voor vertrouwde websites. Ook grote certificaatverkopers als Verisign, Tahwte en RSA blijken de gekraakte techniek nog te gebruiken. Door zelf certificaten in te kopen achterhaalden de experts het mechanismen en waren in staat zelf foutieve certificaten van een handtekening te voorzien.

Lastig oplosbaar

Op zich is het voor de leveranciers van certificaten niet lastig om een nieuwe handtekening beschikbaar te stellen. Maar websites met md5-certificaten zullen die moeten installeren en ook de webbrowsers moeten de nieuwe handtekeningen herkennen. De onderzoekers hebben de leveranciers van webbrowsers ook ingelicht.