Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

MS-CHAPv2: Mintha nem is lenne

2012.08.05. 14:11 | buherator | 5 komment

A BlackHat után lement a DefCon is, melynek egyik legnagyobb hatású előadását Moxie Marlinspike és és David Hulton tartották a PPTP VPN-ekhez és a vállalati szintű WPA2 infrastruktúrák kiépítéséhez előszeretettel használt MS-CHAPv2 protokoll gyengeségeiről. Az MS-CHAPv2 különböző gyengeségei már több mint 10 éve ismertek, de az eddigi eredmények szerint megfelelően erős jelszó választásával a protokoll biztonságosan használható. Marlinspike-ék azonban megmutatták, hogy az autentikációs protokoll osztott titka (a felhasználó jelszavának MD4 hash-e) gyakorlatilag egyetlen ismert nyílt szövegen alapuló DES támadás erőforrásigényével kinyerhető egy lehallgatott kézfogásból, ez pedig már jó ideje nem számít elfogadható védelemnek. A gyenge autentikációs protokollra támadszkodó kulcsszármaztatás (például) miatt sok esetben nem csak a felhasználók megszemélyesítése, de egy passzívan lehallgatott adatfolyam megfejtése is lehetővé válhat.

A támadás megértéséhez először érdemes áttekinteni az MS-CHAPv2 működését:

(via CloudCracker.com)

A lépések áttanulmányozása után kiderül, hogy egy passzív hálózati támadó számára az autentikációhoz szükséges egyetlen ismeretlen paraméter a legitim felhasználó jelszavából generált NTHash. Vegyük észre, hogy hash ismeretében a felhasználó jelszavának ismerete nem szükséges az autentikációhoz!

Az NTHash értékét három részre bontják, a részeket pedig DES titkosítók kulcsaként használják. Az MD4 hash kitalálása egy 2^128 méretű kulcstér bejárását igényelni, ilyen konstrukcióban azonban legfeljebb 3*(2^56) próbára lenne szükség, de a helyzet még ennél is rosszabb: A DES effektív kulcsmérete 7 byte, az NTHash pedig 16 byte hosszú, így a protokollban a harmadik DES-hez az NTHash utolsó két byte-ját és öt NULL-t használnak, vagyis az utolsó kulcs (és a hash utolsó két byte-ja) másodpercek alatt kipörgethető.

A maradék 14 byte kitalálásához kihasználható, hogy a két fennmaradó titkosítást azonos nyílt szövegen kell végezni, így az 56 bites kulcstéren csak egyszer kell a költséges DES művelettel végigszaladni: a ChallengeHash értéket minden lehetséges kulccsal titkosítjuk, majd két gyors összehasonlítással eldöntjük, hogy az eredmény megegyezik-e az elfogott két kriptoszöveg valamelyikével.

A kutatók a támadás demonstrálására kiadták a chapcrack nevű eszközt, melynek segítségével egy hálózati dumpból egyszerűen kinyerhetőek a nyers-erőn alapuló támadáshoz szükséges paraméterek, melyek feltölthetők a CloudCracker szolgáltatásba, az innen visszakapott kulcs segítségével pedig a teljes adatfolyam megfejthető - a művelet így kb. egy napot vesz igénybe.

Összefoglalva: az MS-CHAPv2 ideje lejárt, ne használjátok!

Címkék: kriptográfia ms-chapv2 defconmoxie marlinspike david hulton

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

fidesz = házmesterek pártja 2012.08.05. 18:45:30

Biztonsági témában sohasem tartottam magam szakértőnek (hogy finoman fogalmazzak :D ), de mostanában egyre tudatlanabbnak érzem magam, úgyhogy bocs a hülye kérdésért:
OK, az MS-CHAPv2 ideje lejárt. De mi van, mit használjunk helyette?

buherator · http://buhera.blog.hu 2012.08.06. 10:32:28

Az attól függ, hogy mire használod és hogy milyen konfigurációban. Wirelessnél elvileg jó megoldás, ha PEAP-ba csomagolva használod, bár a mélyreható védelem érdekében én körbenéznék hogy az adott alkalmazásra mik az alternatívák. VPN-nél a SSL/TLS alapú megoldások a tapasztalat szerint elég robosztusak, de egy rendesen konfigurált IPSec-kel sincs baj általában.

[megmondoember] 2012.08.06. 11:36:35

Miután ott, ahol fontos a biztonság már legalább egy évtizede nem vagy nem csak jelszó-alapú authentikációt használnak, hanem tanúsítvány-alapút (beleértve a hardverkulcsos magasszintű azonosításokat ill. a TLS-t is), ezért az, hogy az MS-CHAPv2 önmagában mennyire törhető vagy sem, nagyjából teljességgel lényegtelen.

buherator · http://buhera.blog.hu 2012.08.06. 11:54:47

@[megmondoember]: Szép álmokat :) A slideokat nem találom online (a változatosság kedvéért), de a hírek szerint elég szép listát raktak össze pl. VPN szolgáltatókból, akik MS-CHAP-os VPN-t támogatnak, pl: www.ipredator.se/

A nem-nyilvános szolgáltatások esetében vszínű még rosszabb a helyzet ("működik, ne nyúljunk hozzá").