Nájdený efektívny útok na SSL / HTTPS, úspešne dešifrované dáta

Dvojica bezpečnostných expertov Juliano Rizzo a Thai Duong na konci septembra na bezpečnostnej konferencii Ekoparty demonštrovala efektívny MITM útok, ktorý umožňuje dešifrovať niektoré prenášané dáta zabezpečené SSL. Dvojica pri demonštrácii pomocou útoku získala cookie užívateľa na PayPal a pristupovala k jeho účtu. Konkrétna implementácia útoku síce využíva aj Java applet, zabrániť útoku by mohli ale aj priamo webové prehliadače, zatiaľ ale nebolo navrhnuté definitívne riešenie a aktualizácie prehliadačov riešiace tento problém neboli vydané.

DSL.sk, 3.10.2011

Dvojica bezpečnostných expertov Juliano Rizzo a Thai Duong na konci septembra na bezpečnostnej konferencii Ekoparty demonštrovala efektívny MITM útok, ktorý umožňuje dešifrovať niektoré prenášané dáta zabezpečené SSL.

Zraniteľnosť

Útok využíva už viac rokov známu teoretickú zraniteľnosť protokolov SSL a jeho nástupcu TLS 1.0 prítomnú pri využívaní symetrických šifier v režime CBC, v ktorom sa ako náhodný inicializačný vektor pri šifrovaní bloku dát používa šifrovaná podoba predchádzajúceho bloku.

V SSL sa takto tvorený inicializačný vektor používa po celú dobu spojenia a útočník pri schopnosti odpočúvať šifrovanú komunikáciu môže zistiť inicializačný vektor použitý na ďalšie prípadne ním zasielané dáta ešte pred ich odoslaním.

Práve táto skutočnosť vytvára priestor pre zraniteľnosť popísanú už v roku 2002.

Zraniteľnosť umožňuje útočníkovi hádať najmä opakovane prenášané dáta, keď mu umožňuje postupne testovať správnosť rozličných tipov. Podmienkou pre zneužitie zraniteľnosti je schopnosť útočníka odchytávať šifrovanú SSL komunikáciu užívateľa a zároveň schopnosť nanútiť použitému klientovi, v tomto prípade prehliadaču, dáta, ktoré má preniesť a teda zašifrovať.

Doteraz sa zraniteľnosť, opravená v roku 2006 v TLS verzie 1.1, považovalo za čisto teoretickú a vzhľadom na potrebné predpoklady za prakticky len veľmi tažko zneužiteľnú respektíve nezneužiteľnú.

Praktický útok

Juliano Rizzo a Thai Duong ale napriek tomu dokázali vytvoriť nástroj realizujúci podľa prezentácie a informácií viacerých tvorcov prehliadačov praktický útok.

Keďže zraniteľnosť a útok zneužívajúci túto zraniteľnosť umožňuje iba postupne hádať zabezpečené dáta prenášané z klienta, prehliadača, na webový server, dvojica útok použila na hádanie cookies používaných k identifikácii session a užívateľa, konkrétne demonštrovala získanie cookie na PayPal.

Získanie takejto cookie umožňuje následne pristupovať k PayPal účtu užívateľa, útok ale nie je špecifický pre PayPal a je ho možné aplikovať na ľubovoľné zabezpečené stránky.

Na vkladanie nimi zvolených dát použitých na hádanie cookie využili Rizzo a Duong nepodpísaný Java applet, aktívny v čase prístupu na PayPal v tom istom prehliadači, a dáta odosielali pomocou triedy URLConnection. Nepodpísaný Java applet ale môže odosielať dáta iba na webový server, z ktorého bol stiahnutý, dvojica preto musela využiť chybu v JVM umožňujúcu toto obmedzenie obísť.

Použitá chyba v Jave ale nie je nevyhnutne nutná k zneužitiu zraniteľnosti, zraniteľnosť je potenciálne teoreticky možné zneužiť aj cez aplikácie pre iné pluginy, s využitím iných chýb v Jave umožňujúcich obísť obmedzenie na zasielanie dát iba na rovnaký server alebo cez iné webové technológie umožňujúce odosielať dáta.

Navyše nie je jasné, či použitá zraniteľnosť v Jave od Oracle už bola odstránená, keď Mozilla ešte v utorok odporúčala užívateľom zakázať Javu.

Aby mohol byť útok praktický, Rizzo a Duong sa vyhli hádaniu celých dlhých cookie, ktorých dôležitou vlastnosťou je ich neuhádnuteľnosť. Použili pri tom techniku, ktorá im umožňovala hádať jednotlivé znaky cookie postupne.

Demonštrácia útoku (video: Rizzo a Duong)

Koľko pokusov útok potrebuje na uhádnutie cookie a aké sú požiadavky na rýchlosť spojenia medzi užívateľom a MITM serverom používaným útočníkom, Rizzo a Duong nezverejnili.

V zverejnenom videu ale demonštrujú dešifrovanie dlhej PayPal cookie za menej ako dve minúty.

Opatrenia

Rizzo a Duong zatiaľ nezverejnili všetky potrebné predpoklady pre zrealizovanie útoku, podľa popisu Duonga ale minimálne chyba zneužívaná v Jave vyžaduje MITM útok, teda aj schopnosť útočníka aktívne manipulovať dáta prenášané medzi užívateľom a Internetom.

Útok je tak výrazne ťažšie realizovateľný ako útok vyžadujúci iba pasívne odpočúvanie spojenia užívateľa, stále je ale v mnohých scenároch reálne realizovateľný.

Hoci tvorcovia prehliadačov boli o praktickosti útoku informovaní už pred viacerými mesiacmi, zatiaľ ani jeden z piatich hlavných prehliadačov vo svojej stabilnej verzii nezaviedol opatrenia proti zneužívaniu tejto chyby a zatiaľ nie je ani jasné, ako zneužívaniu zraniteľnosti zabránia.

Opera, Google, Mozilla a Microsoft ale informovali o príprave opatrení. Opera a Google v Chrome testovali úpravu implementácie SSL, niektoré z testovaných úprav ale boli nekompatibilné s niektorými imlplementáciami SSL na webových serveroch, ďalšie sa testujú.

Mozilla zatiaľ odporučila užívateľom deaktivovať vo Firefoxe plugin pre Javu, používanú pre zatiaľ jediný demonštrovaný spôsob zneužitia zraniteľnosti.





Najnovšie články:



Diskusia:

lofasovnik Od: lofas | Pridané: 3.10.2011 9:11 Anketa: Instalujete po reinstalle javu? Myslim ten samostatny balik ako plugin do browsera. Ja uz nie. Ved to pouziva tak 1% stranok. Zvycajne takych bez ktorych sa obidem. Odpovedať Známka: -0.4 Hodnotiť:

Re: lofasovnik Od: anketar | Pridané: 3.10.2011 10:32 ano, instalujem, jednak kvoli robote musim (denne vyuzivam java applet) a jedna by som ho asi instaloval aj tak - to 1% stranok je totiz znacne podhodnotene, mnohe weby ktore sluzia aj ako rozne portaly, prip poskytuju pridane sluzby javu casto pouzivaju... Odpovedať Známka: 3.8 Hodnotiť:

Anketa Od reg.: yanick | Pridané: 3.10.2011 10:17 96% ludi su optimisti, ktori si myslia, ze sifrovacie algoritmy este len budu prolomene. 4% su realisti a vedia, ze uz su prelomene :-) Odpovedať Známka: 7.7 Hodnotiť:

Re: Anketa Od: Froggy | Pridané: 3.10.2011 10:37 hlupost, ako CCNA Security certifikovany, ti mozem povedat ze nemas tak celkom pravdu. Ano, kazdy algoritmus, ci uz hashovaci alebo kryptovaci je nachylny na brute force utok o tom nikto nepochybuje :). No v pripade SHA-1 bola kolizia najdena v takom pocte krokov, ktory neni daleko od brute force utoku, cize realne ide stale o velmi bezpecny hashovaci algoritmus (na rozdiel od MD5 pri ktorom kolizia bola zistenia pri exponencialne mensom pocte krokov). No a ak sa bavime o AES-256 tak potom nemas vobec pravdu. Odpovedať Známka: 2.2 Hodnotiť:

Re: Anketa Od: ubx | Pridané: 3.10.2011 11:40 obavam sa, ze ako obycajne je to len o tom, kedy dakto zverejni najdenu duru a je to. Odpovedať Známka: 4.7 Hodnotiť:

Re: Anketa Od: unknown | Pridané: 3.10.2011 11:44 na co bruteforce ,ked uz sa hashe hladaju najprv podla rainbow tabuliek a maju cca 80% sancu na zhodu? Odpovedať Známka: -4.3 Hodnotiť:

Re: Anketa Od: ubx | Pridané: 3.10.2011 12:28 preto je dostojne a spravne pouzivat pred hashovanim aj dake to horcicne semienko. Odpovedať Známka: 7.3 Hodnotiť:

Re: Anketa Od: el_kabel | Pridané: 3.10.2011 15:28 kto este pouziva neosolene hashe? Odpovedať Známka: 8.6 Hodnotiť:

Re: Anketa Od: ubx | Pridané: 4.10.2011 10:58 by si sa divil. :-) nam sa vdaka tomu nedavno podarilo behom par hodin preniest loginy+passwordy z jedneho komercneho SW do druheho. clovek by ani neveril v dnesnej dobe... :-) Odpovedať Známka: 6.7 Hodnotiť:

Re: Anketa Od: el_kabel | Pridané: 3.10.2011 15:30 k tym md5 koliziam odporucam goo.gl/MK2Nx - praca Dr. Vlastimila Klimy . s jeho toolom sa mi podarilo najst koliziu v md5 hashi asi za 3-4 minuty na celeron-m 1.6Ghz a 512MB ram ;) Odpovedať Známka: 7.1 Hodnotiť:

Re: Anketa Od: fdgdfgdfg | Pridané: 3.10.2011 16:54 existuje aj mnozstvo stranok, kde ti najde kolizie a nemusis stahovat daky tool a cakat.. a v pripade stranky ti to zobrazi aj na mobile. Odpovedať Známka: -6.0 Hodnotiť:

Re: Anketa Od: el_kabel | Pridané: 3.10.2011 23:43 ...nepotrebujem lamat hashe kazdy den. na tom linku je predovsetkym white paper ako vlastne tie kolizie funguju. a nesaltovane hashe sa uz prakticky nepouzivaju tento utok bol z pratkickeho hladiska zaujimavy tak v roku 2006 ked bol publikovany ;) Odpovedať Známka: 2.0 Hodnotiť:

Re: Anketa Od: rastos | Pridané: 3.10.2011 20:11 Problém nie je ani tak v samotných šifrovacích algoritmoch, ale v konkrétnej implementácii. Resp. informáciách unikajúcich bočnými kanálmi a podobne. Ale pre tú srandu, skúste zájsť do banky a povedať, že šifrované spojenie s internet-bankingom nie je bezpečné a nech navrhnú nejaké riešenie. Odpovedať Známka: 8.2 Hodnotiť:

Re: Anketa Od: ubx | Pridané: 4.10.2011 10:57 ten napad v poslednej vete je na vtip tyzdna :-) ktovie, ako by sa tvarili. ale asi maju daky standardny kalerab, ktory posielaju vzdy, ked treba daco riesit - ako na nas myslia dnom a nocou blablabla... :-) Odpovedať Známka: 7.1 Hodnotiť:

banky nase okradajuce :) Od: roflko | Pridané: 6.10.2011 11:43 ano a preto tb spravila prihlasovanie do ib cez flash, ak sa mylim tak ma opravte. k teme mm nie je to pekne ze taka diera je ale zase pochybujem ze janko z dolnej hornej mi bude lamat hesla aby vedel co pisem na emaily alebo nieco podobne, samozrejme ochrana dat je potrebna ale jankovi to asi bude zbytocne :> skor sa bojim zneuzivania velkymi firmami... Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár