Wachtwoorden LinkedIn simpel te onderscheppen (update)
De bekende ‘white hat-hacker’ Paula Januszkiewicz toonde tijdens een demonstratie op de Microsoft TechDays 2012 in Eigenbrakel hoe gemakkelijk het is om het wachtwoord van een LinkedIn-gebruiker te achterhalen. Dit is mogelijk ondanks het gebruik van een schijnbaar veilige https-verbinding.
Januszkiewicz gaf de demo tijdens een sessie genaamd ‘10 Deadly Sins for Administrators about Windows Security’. Ze gebruikte daarin de gratis netwerktool Fiddler om alle netwerkverkeer te onderscheppen. Dus ook het verkeer dat gaat over https. Op die manier werd het wachtwoord van een fictieve LinkedIn-gebruiker onderschept en op het scherm getoond.
Geen encryptie
De reden waarom dat zo makkelijk kan is simpel: “Ondanks de https-verbinding worden wachtwoorden van LinkedIn namelijk niet geëncrypteerd doorgegeven”, aldus Januszkiewicz.
[related_article id=”161452″]
We namen zelf de proef op de som en konden inderdaad met behulp van de genoemde tool binnen vijf minuten ons LinkedIn-wachtwoord onderscheppen. Bekijk hieronder de 3 minuten en 45 seconden lange video waarin Januszkiewicz gedetailleerd uitlegt hoe dit alles precies in zijn werk gaat:
Man-in-the-middle attack
Volgens Eddy Willems, security evangelist bij G Data, is wat Januszkiewicz demonstreerde weinig meer dan een zogenaamde man-in-the-middle attack. Het werkt dus bijna altijd in dergelijke gevallen, en duidt niet op een fout bij LinkedIn. Willems: “Het toont vooral aan dat er een probleem is met Microsoft Windows en niet zozeer met https”.
Willems stelt ook dat hoewel een man-in-the-middle-attack niet zo nieuw of spectaculair is, het toch nog altijd een actuele vorm van hacking is: “Januszkiewicz laat min of meer zien hoe ‘banking trojans’ werken, een bedreiging waar G Data met zijn nieuwe BankGuard-software specifiek op inspeelt”.
Update 24-2-2012: reactie Eddy Willems toegevoegd.