A legújabb hírek az NSA-el kapcsolatban sajnos még mindig nagyon kevés konkrétumot tartalmaznak (ideje lenne, hogy valaki végre tényleg kiszivárogtassa a kiszivárgott dokumentumokat...), de talán egy lépéssel közelebb visznek a megfejtéshez NSA és a TLS viszonyában.

A legutóbbi, a témát fejtegető posztból valahogy kimaradt egy nagyon is kézenfekvő forgatókönyv, mégpedig a most napvilágott látott közbeékelődéses támadásoké.

Az újságírók témában kevéssé jártasak kedvéért: Az SSL/TLS által nyújtott titkosítás nem sokat ér ha nem tudom kinek küldöm el az adataimat. A titkosítás a dróton közlekedő adatokat védi, melyeket a kommunikáló felek (mondjuk a Google és én) a drót két végén megfejtenek. Amennyiben egy támadó (az NSA) elhiteti velem, hogy ő a Google, akkor a hálózati titkosítás mit sem ér, mert a kriptográfiai hókuszpókusz végén a Google helyett támadóval egyezek meg a titkosításhoz használt kulcsban, így számára minden üzenetem megfejthető lesz. Ez ellen védenek a digitális tanúsítványok, melyek ellenőrzésével a felek meggyőződhetnek arról, hogy jó partnerrel egyeztetnek (jó) kulcsot. A tanúsítványokat biztosító infrastruktúra (nem a titkosítás!) azonban az elmúlt években többszök kudarcott vallott.

A most megjelent anyagok tanúsága szerint routereket tört fel, és rajtuk keresztülmenő forgalom egy részét saját kiszolgálóira irányította, ahol hamis digitális tanúsítványokat használva megszemélyesítette a célszolgáltatásokat, példul a Google-t is. A megfigyelések célja a hírek szerint egy brazil olajipari vállalat, a Pertobras titkainak kikémlelése lehetett.

A történetbe jól illeszkedik az a néhány hetes leak, melyből kiderül, hogy az NSA különös figyelmet fordít a hálózati eszközök - tűzfalak, routerek és switchek - biztonságára, a Wired cikke szerint az elmúlt években világszerte több tízezer ilyen csomópont felett vette át az irányítást a hivatal. A stratégia sok szempontból előnyös: az eszközök nagy részének biztonsági szintje riasztóan gyenge, a szoftvereket a legritkább esetben frissítik, natív biztonsági szoftverek gyakorlatilag nem léteznek, teljes hálózati tartományok figyelhetők meg, és a sort még valószínűleg sokáig lehetne folytatni.

6:23 ;)

Az persze jó kérdés, hogy hogyan jutott hozzá az ügynökség a megfelelő tanúsítványokhoz? Kormányhivatalról lévén szó, simán elképzelhető, hogy egyszerűen készíttettek egyet valamelyik baráti CA-val - ez tűnik talán a legköltséghatékonyabb megoldásnak. Az is elképzelhető ugyanakkor, hogy a CA-k infrastruktúráját azok tudta nélkül használták fel - erre utal, hogy az egyik kiszivárgott slide a DigiNotart emlegeti, bár nem vagyok róla meggyőződve, hogy nem csak példaként hozták fel a holland szolgáltató fiaskóját a prezentációban.

Aztán persze még mindig ott van a kriptó: tudjuk, hogy "bizonyos titkosszolgálatok" elég jól állnak az MD5-ütközés problémával, így egy, a Flame-hez hasonló trükkel SSL tanúsítványokat is hamisíthattak. Erre azonban szvsz. viszonylag csekély az esély: Először is, tisztességes CA nem használ MD5-öt, éppen a fenti okok miatt. Másodszor a Flame esetében is a csillagok speciális együttállására volt szükség, hogy a támadás megvalósítható legyen. Harmadszor pedig a tisztességes megfigyeléshez valószínűleg tucatnyi tanúsítványra lehetett szükség, melyeket mind egysével, a körülményekhez igazodva (szolgáltató algoritmusai, kulcshosszai, tanúsítványformátum, stb.) kellett volna értő műgonddal legyártani, ami egyszerűen szívás ahhoz képest, hogy a megfelelő ember orra alá dörgölöm a megfelelő papírt.

A jó hír, hogy az effajta támadásokat könnyen észlelhetjük: a Chromiumban elérhető, EMET-tel tetszőleges alkalmazásba "beoltható" certificate pinning biztosítja, hogy kedvenc szolgáltatóinkhoz csak akkor kapcsolódjunk, ha azok már ismert tanúsítványt villantanak, a Firefox Certificate Patrol kiegészítője pedig minden, a tanúsítványokat érintő változásról részletes tájékoztatást ad.

Bónusz: 3 éves Linux SCTP IPv6 IPsec biztonsági hiba: NSA kedveli ezt