Nowy atak na RSA/SSL – ROBOT. Umożliwia deszyfrację ruchu.

12 grudnia 2017, 21:04 | W biegu | 1 komentarz
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Czy warto się przejmować? Autorzy badania dotyczącego nowego ataku ROBOT, pokazali w ramach demo, podpisanie wiadomości… kluczem prywatnym Facebooka (dokładniej: chodzi o ich certyfikat HTTPS i powiązany z nim klucz prywatny):

Further we have demonstrated practical exploitation by signing a message with the private key of facebook.com’s HTTPS certificate.

Tutaj można zobaczyć konkretny dowód – w końcu weryfikację sfałszowanego podpisu można zrobić kluczem publicznym, który znajduje się w certyfikacie SSL Facebooka.

Dokładnie rzecz biorąc możliwe jest właśnie podpisywanie ruchu / wiadomości kluczem prywatnym serwera (choć nie ma możliwości bezpośredniego dostępu do klucza), oraz deszyfracja ruchu:

It does only allow an attacker to decrypt ciphertexts or sign messages with the server’s private key.

Co jest konkretnie podatne? Na start mamy 27 na 100 najpopularniejszych globalnie serwisów wg Alexa (zapewne w tej chwili w dużej części są one załatane).

Z podatnych rozwiązań wskazywane są: F5, Cisco, czy javowy projekt Bouncy Castle,

Zidentyfikowanych jako podatnych zostało więcej projektów, choć jak na razie patch jest „w drodze”.  F5 pisze przykładowo:

(…) when exploited, may result in  plaintext recovery of encrypted messages and/or a Man-in-the-middle (MiTM) attack, despite the attacker not having gained access to the server’s private key itself.

Dostępny jest też skrypt sprawdzający podatność danej domeny; co można też zrobić on-line – choć w najbliższym czasie nie liczyłbym na wysoką dostępność tej usługi.

Jak się chronić? Zaaplikować patche w rozwiązaniu, które używamy (jeśli jest podatne), lub jeszcze szybciej – wyłączyć wymianę kluczy z wykorzystaniem RSA (można w tym celu użyć np. ECDH).

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Spokojnie, nie ma katastrofy. Podatność dotyka bardzo dużo narzędzi, ale nie oznacza to, że same ich posiadanie oznacza problem. Narzędzie autorów zdaje się nie działać (przynajmniej u mnie w 40 minut nie dało odpowiedzi), ale SSLLabs włączy test przeciwko ROBOT-owi w swój zestaw oceniający. Co można zrobić wcześniej? Nie panikować. Jeżeli dopuszczacie tylko ECDHE lub DHE, to możecie spać spokojnie. Dla osób, które nie konfigurowały serwera samodzielnie, wynik A lub A+ w obecnej wersji SSLLabs również daje spokojny sen: podatny algorytm wymiany klucza już dawno został przez nich uznany za niebezpieczny i w przypadku jego dopuszczenia nie ma szans na ocenę A.

    Odpowiedz

Odpowiedz