Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Régi-új SSL/TLS támadás

2011.09.26. 12:29 | buherator | Szólj hozzá!

Sajnos úgy érzem, nem lehet tovább halogatni, hogy a Julian Rizzo és Thai Duong által helyi idő szerint pénteken, az argentín Ekoparty konferencián prezentált SSL/TLS támadásról írjak, annak ellenére, hogy még mindig nem tudni pontosan, mit is hozott össze a két kutató.

Minden esetre már megjelent néhány igen hasznosnak tűnő összefoglaló, melyek nagy vonalatkban körüljárják a támadás főbb jellegzetességeit. Az első és legfontosabb, hogy Rizzo és Duong egy majd' tíz éve ismert, választott nyílt szöveg alapú támadásra mutatott egy proof-of-concept megvalósítást - ez lett a BEAST. Az eredeti probléma gyökere az, hogy a TLS 1.0-t használó böngészők CBC módban az utolsó üzenet utolsó blokkját használják a következő üzenet IV-jeként, vagyis a különböző HTTP kéréseket egy hosszú plaintext üzenetté fűzték össze. Nem CBC-módban használt blokktitkosító, illetve a folyamtitkosító használatát kikényszerítve elkerülhetjük a támadást.

A támadás lényege az, hogy egy támadó képes ellenőrizni, hogy egy adott titkosított blokk nyílt szövege megegyezik-e egy általa megtippelt értékkel: Tegyük fel, hogy a támadó tudja, hogy Alice jelszava utazik az M_i blokkban (ezt a támadó titkosítva, C_i-ként látja)! A támadó nem tudja megfejteni ezt a blokkot, viszont meg tudja jósolni az következő IV-t (ez legyen X), valamint rá tudja kényszeríteni Alice-t, hogy küldje el az

X + C_(i-1) + P

üzenetet, ahol P a támadó által megsejtett jelszó, a + a bitenkénti XOR-t jelöli, C_(i-1) pedig a M_i üzenet előtt küldött kriptoszöveg. Amikor a rejtjelező XOR-olja ezt az üzenetet a következő IV-vel, az X kiesik. Amennyiben pedig P=M_i (vagyis a támadó helyesen tippelt), a titkosítás után C_i kell legyen az eredmény.

Ez a támadás jól láthatóan viszonylag erős támadói modellt feltételez. Rizzo és Duong érdeme abban áll, hogy praktikus támadási szcenáriót sikerült mutatniuk, mégpedig az egyik legelterjedtebb felhasználási módra, a webböngészésre.

A támadshoz olyan technológáik használhatók, amelyek megengedik tetszőleges bináris adat átvitelét, úgy mint a Java, vagy a HTML5 WebSockets. Utóbbi esetben a HTTP kliens és szerver előzetesen meg kell, hogy egyezzen a WebSocket használatban, a kézfogás során pedig átvitelre kerülhet a kliens sütije is. Ha feltételezzük, hogy már a kézfogás egy részét is irányítani tudja a támadó (pl. a szerveren belüli útvonal megadásával), elérhető, hogy az egyik üzenetblokk végén csak a süti első bájtja szerepeljen. A blokk maradék része ekkor egyszerűen jósolható (sima HTTP fejlécekről beszélünk), ezért a támadó a fenti módszerrel néhány száz kérésből képes kitalálni a bájtot. A következő lépésben egyel csökkentve a konrollált üzenetrész méretét a süti következő bájtja következhet, és így tovább.

Hogy mindennek milyen hatása lesz a mindennapi életünkre? Várhatóan nem sok. A támadás eleve egy közbeékelődéses szituációt feltételez, ekkor pedig jóval hatékonyabb módszernek tűnik belőni egy SSLStripet. A böngészőgyártók már tesztelik azokat a foltokat, melyek segítségével a kompatibilitást megtartva kiküszöbölhetőek az ilyen jellegű protokolltámadások, és a Tor felhasználók is megnyugodhatnak. A bejelentéstől függetlenül egyébként a WebSocket specifikációt időközben úgy módosították, hogy az újabb implementációk már jóval nehezebben használhatók fel ilyen kriptós trükkökre.

Abból a szempontból viszont a kutatás mindenképpen hasznos lesz, hogy végre talán megadja azt a rég óta várt lökést a különböző SSL/TLS könyvtárak gyártóinak és felhasználóinak, hogy végre teljes támogatást adjanak a TLS 1.1-es és 1.2-es, megerősített változataihoz. És akkor jövőre valaki majd megint készíthet egy ütős prezit a downgrade támadásokról :)

Frissítés: A cikk és a referencia implementáció letölthető innen (link frissítve).

Címkék: ssl beast kriptográfia tls ekoparty julian rizzo thai duong

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.