Fox-IT heeft een manier ontdekt om de geavanceerde Quantum Insert-hack van de Amerikaanse geheime dienst NSA te detecteren. De hack werkt middels speciale servers die dichtbij de computer van een doelwit staan en een malafide website tonen, net voordat de legitieme website wordt geladen.

Zo toonde de NSA bijvoorbeeld een malafide Linkedin-pagina van een Belgacom-medewerker als degene naar zijn eigen Linkedin-pagina wilde surfen. Daarvoor werden onder andere het ip-adres, Gmail-account, profielen op sociale netwerken en Skype-account van de medewerker geïdentificeerd. Als de NSA-server een malafide website voorschotelt, ontvangt de browser van het doelwit na de get-request twee antwoorden: één van de NSA-server en daarna één van de originele website. De browser negeert normaliter het tweede antwoord.

Beide antwoorden van de servers lijken veel op elkaar, maar verschillen toch een beetje. Als beide antwoorden van dezelfde legitieme website komen, zijn de datapakketten echter precies hetzelfde. Door het kleine verschil tussen de antwoorden van de servers kan Fox-IT een dergelijke Quantum Insert-hack detecteren.

Op de codewebsite Github heeft Fox-IT een toevoeging voor het gratis opensource-beveiligingssoftwarepakket Snort gepubliceerd. De software kan worden geüpdatet met de code van Fox-IT om Quantum Insert-hacks te detecteren.

Alles bij de bron; NU