De inlogpagina’s van de UvA en de HvA zijn vatbaar voor cyberaanvallen. Het DLWO, SIS, id.hva.nl en secure.uva.nl maken gebruiken van zwakke beveiligingscertificaten en zijn daardoor kwetsbaar voor zogenaamde man-in-the-middle-aanvallen. Daar zijn twee HvA-studenten achter gekomen. De studenten kunnen door dit lek makkelijk meekijken als iemand inlogt op de sites, en de inloggegevens stelen. Hoewel ze het probleem meermaals hebben gemeld bij de ICT Services-afdeling van de HvA en de UvA, kregen de studenten geen reactie. Daarom besloten ze Folia in te lichten.
Update
Inmiddels is de site van de HvA flink geupdate. Dit weekend heeft de ICT-dienst de beveiligingscertificaten bijgewerkt. De studenten zijn gevraagd om in opdracht van de ICT-dienst een security audit uit te voeren. De bedoeling is dat dit andere beveiligingslekken aan het licht brengt, als deze er nog zijn na de updates.
De inlogpagina’s van zowel de UvA als de HvA maken gebruik van een SSL-certificaat, dat moet voorkomen dat gegevens lekken aan bijvoorbeeld wifi-beheerders of kwaadwillenden. Die SSL-certificaten worden regelmatig vervangen, zodat zij echt veilig blijven. ‘Het probleem is dat de HvA een oud en de UvA een zwak certificaat gebruiken. Dat doen ze waarschijnlijk zodat oudere browsers ook ondersteund worden, maar dat maakt hen kwetsbaar voor aanvallen,’ leggen de studenten uit.
SSL-strip
De studenten demonstreren ons hoe ze inloggegevens van studenten kunnen zien. Een van de studenten sluit een Raspberry Pi (een soort minicomputer die hij als router programmeerde) op zijn laptop aan en maakt een van eduroam-afgeleid netwerk aan. Na wat gepruts om de juiste gateway te vinden, lukt het hem en hebben ze een eigen netwerk.
Daarna begint het strippen van het SSL-certificaat. ‘Op internet staat een tool waarmee je die SSL verbindingen kunt strippen, en je dus de verouderde SSL versies kunt omzeilen,’ vertellen de studenten. ‘Wij hebben dat geautomatiseerd. We hebben nu een programmaatje dat automatisch die SSL-verbinding stript.’ Dat van de HvA blijkt een eitje, aangezien het een verouderd SSL3-certificaat is. Dat van de UvA lijkt weerbarstiger, maar moet er uiteindelijk ook aan geloven.
Misbruik
Enkele seconden later vertelt het duo trots dat het klaar is. ‘Kijk, ik ga nu naar secure.uva.nl. Als ik daar inloggegevens op invoer, kunnen wij ze op de computer direct zien.’ Niets blijkt gelogen. Een ogenblik later zien we op de laptop de inloggegevens voor de beveiligde omgeving van de UvA. Het duo herhaalt het trucje moeiteloos op id.hva.nl.
Volgens de studenten is het een ware flater dat dit zo gemakkelijk te kraken is. ‘Stel je voor dat we ons netwerk 'eduroam' hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien.’ Om dat te voorkomen heeft het tweetal bij ICT Services aan de bel getrokken. Dat bleek tevergeefs. ‘We hebben vaak gemaild, maar we hebben sinds september niets meer van hen gehoord. Aangezien we vinden dat dit toch opgelost moet worden, hebben we nu maar verschillende media ingelicht.’
Voordurend verbeteren
De UvA en de HvA zeggen bij monde van HvA-woordvoerder Meike Verhagen uit de acties van de studenten niet te kunnen opmaken of 'kwetsbaarheden in het beveiligingsniveau van de sites van de UvA en de HvA bij deze aanval een rol hebben gespeeld.' Wel erkent Verhagen dat SSL-beveiliging kwetsbaarheden heeft. 'SSL beveiliging heeft dan ook onze voortdurende aandacht en we zijn voortdurend bezig met verbeteringen. Dat moet ook, omdat met regelmaat nieuwe kwetsbaarheden aan het licht komen waarop actie moet worden ondernomen.'
Update
Inmiddels is de site van de HvA flink geupdate. Dit weekend heeft de ICT-dienst de beveiligingscertificaten bijgewerkt. De studenten zijn gevraagd om in opdracht van de ICT-dienst een security audit uit te voeren. De bedoeling is dat dit andere beveiligingslekken aan het licht brengt, als deze er nog zijn na de updates.
De inlogpagina’s van zowel de UvA als de HvA maken gebruik van een SSL-certificaat, dat moet voorkomen dat gegevens lekken aan bijvoorbeeld wifi-beheerders of kwaadwillenden. Die SSL-certificaten worden regelmatig vervangen, zodat zij echt veilig blijven. ‘Het probleem is dat de HvA een oud en de UvA een zwak certificaat gebruiken. Dat doen ze waarschijnlijk zodat oudere browsers ook ondersteund worden, maar dat maakt hen kwetsbaar voor aanvallen,’ leggen de studenten uit.
SSL-strip
De studenten demonstreren ons hoe ze inloggegevens van studenten kunnen zien. Een van de studenten sluit een Raspberry Pi (een soort minicomputer die hij als router programmeerde) op zijn laptop aan en maakt een van eduroam-afgeleid netwerk aan. Na wat gepruts om de juiste gateway te vinden, lukt het hem en hebben ze een eigen netwerk.
Daarna begint het strippen van het SSL-certificaat. ‘Op internet staat een tool waarmee je die SSL verbindingen kunt strippen, en je dus de verouderde SSL versies kunt omzeilen,’ vertellen de studenten. ‘Wij hebben dat geautomatiseerd. We hebben nu een programmaatje dat automatisch die SSL-verbinding stript.’ Dat van de HvA blijkt een eitje, aangezien het een verouderd SSL3-certificaat is. Dat van de UvA lijkt weerbarstiger, maar moet er uiteindelijk ook aan geloven.
Misbruik
Enkele seconden later vertelt het duo trots dat het klaar is. ‘Kijk, ik ga nu naar secure.uva.nl. Als ik daar inloggegevens op invoer, kunnen wij ze op de computer direct zien.’ Niets blijkt gelogen. Een ogenblik later zien we op de laptop de inloggegevens voor de beveiligde omgeving van de UvA. Het duo herhaalt het trucje moeiteloos op id.hva.nl.
Volgens de studenten is het een ware flater dat dit zo gemakkelijk te kraken is. ‘Stel je voor dat we ons netwerk 'eduroam' hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien.’ Om dat te voorkomen heeft het tweetal bij ICT Services aan de bel getrokken. Dat bleek tevergeefs. ‘We hebben vaak gemaild, maar we hebben sinds september niets meer van hen gehoord. Aangezien we vinden dat dit toch opgelost moet worden, hebben we nu maar verschillende media ingelicht.’
Voordurend verbeteren
De UvA en de HvA zeggen bij monde van HvA-woordvoerder Meike Verhagen uit de acties van de studenten niet te kunnen opmaken of 'kwetsbaarheden in het beveiligingsniveau van de sites van de UvA en de HvA bij deze aanval een rol hebben gespeeld.' Wel erkent Verhagen dat SSL-beveiliging kwetsbaarheden heeft. 'SSL beveiliging heeft dan ook onze voortdurende aandacht en we zijn voortdurend bezig met verbeteringen. Dat moet ook, omdat met regelmaat nieuwe kwetsbaarheden aan het licht komen waarop actie moet worden ondernomen.'
