03.03.2015 | 22:59

Adam Haertle

5 milionów serwerów podatnych na FREAK, nowy atak na protokół SSL

Od wielu lat w niektórych popularnych implementacjach SSL drzemał błąd, pozwalający na podsłuchiwanie i fałszowanie zaszyfrowanego ruchu między klientem a serwerem. Podatne są miliony serwerów na całym świecie.

SSL nie ma dobrej passy – w ciągu ostatnich 12 miesięcy odkryto mnóstwo błędów zarówno w samym protokole jak i w różnych jego implementacjach. Odkrycia te zachęciły do dalszych prac inne zespoły badaczy a dzisiaj możemy poznać efekty ich poszukiwań.

FREAK, czyli eksportowa wersja RSA

W skrócie: odkryty atak polega na możliwości wymuszenia słabego, łatwego do złamania szyfrowania między podatnymi klientami (głównie OpenSSL i Apple SecureTransport ) a podatnymi serwerami (26% wszystkich udostępniających usługę SSL). A teraz dłuższa wersja dla zainteresowanych.

Warunkiem przeprowadzenia skutecznego ataku jest:

  • pozycja atakującego umożliwiająca podsłuchiwanie i modyfikowanie ruchu między klientem a serwerem,
  • klient z błędem umożliwiającym użycie słabszej wersji RSA (512 bitów),
  • serwer obsługujący słabszą wersję RSA.

Niestety okazuje się, że w rzeczywistości warunki te mogą zostać stosunkowo łatwo spełnione. Pomijamy punkt pierwszy – wystarczy podsłuch sieci lokalnej lub fałszywy punkt dostępowy WiFi, nie mówiąc już o możliwościach służb specjalnych. Ciekawie zaczyna się w kolejnych punktach. Co prawda większość przeglądarek nie jest podatna na odkryty błąd (CVE-2015-0204), jednak dwie bardzo duże grupy użytkowników są zagrożone – jedna to użytkownicy Android Browsera opartego o OpenSSL, druga to użytkownicy Apple. Apple obiecało błąd wkrótce naprawić, Google ma z tym duży problem. Co prawda jest dostępna poprawiona wersja OpenSSL, jednak jak wymusić jej aktualizację na miliardzie urządzeń? To pytanie pozostaje na razie bez odpowiedzi.

Ciekawie wygląda sprawa z serwerami. Początkowo odkrywcy błędu przypuszczali, że w dzisiejszych czasach mało który serwer obsługuje jeszcze szyfrowanie RSA z kluczem o długości 512 bitów. Byli w błędzie. Według przeprowadzonego skanu podatnych jest ponad 12% wśród miliona najpopularniejszych witryn WWW i ponad 26% wszystkich serwerów w przestrzeni adresowej IPv4. Co prawda wiele z nich będzie wkrótce załatanych, jednak na pewno nie wszystkie. Wśród najpopularniejszych polskich serwerów (z pierwszych 10 000 wg Alexa) podatne są:

  • wiocha.pl
  • gem.pl
  • infor.pl
  • rzeczpospolita.pl
  • trojmiasto.pl
  • deser.pl
  • polskieradio.pl
  • librus.pl

Trochę techniki

Scenariusz ataku wygląda następująco:

  1. Klient prosi serwer o standardowe szyfrowanie RSA.
  2. Atakujący zmienia tę prośbę na RSA w „wersji eksportowej”.
  3. Serwer odpowiada kluczem RSA o długości 512 bitów.
  4. Klient akceptuje ten słaby klucz na skutek błędu w implementacji SSL.
  5. Atakujący oblicza wartości niezbędne do odszyfrowania komunikacji.
  6. Klient szyfruje klucz tymczasowy i przesyła na serwer.
  7. Atakujący poznaje ten klucz i odszyfrowuje całą komunikację.

Choć teoretycznie serwer może dla każdej sesji generować nowy klucz RSA, okazuje się, że ze względów wydajnościowych w większości przypadków klucz generowany jest w momencie uruchomienia serwera i pozostaje bez zmian przez cały czas jego działania. Proces ataku na klucz RSA o długości 512 bitów trwa dzięki serwerom Amazona ok. 7 godzin i kosztuje ok. 100 dolarów. Raz złamany klucz służy do odszyfrowania każdej komunikacji z serwerem do jego restartu.

Trochę historii

Skąd wzięły się słabe klucze RSA? To efekt wprowadzonej w latach 90tych polityki USA, która zabraniała eksportowania zaawansowanych technologii kryptograficznych. Choć przepisy już dawno zostały zmienione, to protokół SSL/TLS uwzględnia ciągle fakt, że wiele serwerów obsługuje „wersję eksportową” RSA i umożliwia jej wynegocjowanie klientom. Niestety funkcja ta, choć praktycznie nieprzydatna ze względu na łatwość w łamaniu tak krótkich kluczy, nie została do tej pory wyeliminowana.

Co ciekawe podatne na atak było wiele amerykańskich serwerów rządowych, a niektóre nadal nie poprawiły konfiguracji. Przykładem niech będzie chociażby nsa.gov.

Udany atak na serwer NSA

Udany atak na serwer NSA

Co dalej?

Klienci Apple wkrótce powinni otrzymać aktualizację. Użytkownicy Androida powinni przestać korzystać z Android Browsera i pozostać przy Google Chrome. Administratorzy serwerów powinni zaktualizować OpenSSL do aktualnej wersji i wyłączyć obsługę kluczy RSA o długości 512 bitów.

Polecamy także test podatności dla klienta oraz serwera (dzięki Jarecki).

Źródła i dalsza lektura:

Powrót

Komentarze

  • 2015.03.03 23:17 Ty221

    Librus.pl podatny – ciekawe kiedy pojawią się fałszywe ocenki :D

    Odpowiedz
    • 2015.03.04 11:31 Linuxxx:)

      Nigdy. Aż tak dobrze nie ma.

      Odpowiedz
    • 2015.03.04 11:45 JohnR

      Odnośnie Librusa, to ze 2 lata temu strona była co chwilę oznaczana przez przeglądarkę jako niebezpieczna + kilka razy antywirus krzyczał, że coś zablokował. W sumie nic dziwnego, bo za którymś razem jednak jakieś Ransomware przedostało się do kompa.

      Odpowiedz
      • 2015.03.04 23:52 Linuxxx:)

        Chyba rok temu (a może 2) kilka razy padała rano bo ktoś z DoSa ją grzał. Jak się ma tylu wrogów…

        Odpowiedz
        • 2015.03.09 16:33 Anon

          XMLRPC konkretnie ;)

          Odpowiedz
  • 2015.03.03 23:37 yy

    pod Androidem wolę CM Browser niż Chrome’a

    Odpowiedz
  • 2015.03.03 23:39 Krzysiek

    Czy ma ktoś jakieś zaufane źródło do przetestowania serwera?

    Odpowiedz
  • 2015.03.03 23:48 Jarecki

    Klienta przetestujesz tu – https://freakattack.com, zaś Server tu https://www.ssllabs.com/ssltest

    Odpowiedz
    • 2015.03.04 00:07 Krzysiek

      podziękowafszy :)

      Odpowiedz
    • 2015.03.04 13:28 pytanieOTest

      A jakiś test dla serwera imap/smtp po ssl/tls?

      Odpowiedz
  • 2015.03.04 06:48 kwiateusz

    sprawdziłem chrome, feedly i Dolphin browser na freakattack.com i wg nich wszystkie 3 aplikacje są podatne

    Odpowiedz
    • 2015.03.04 11:34 agilob

      > Good News! Your browser appears to be safe from the FREAK Attack!

      W Fx SSL jest już domyślnie wyłączone.

      Odpowiedz
  • 2015.03.04 08:14 Erick

    Chrome w wersji 42 będzie ostatnią wersją dla Androida 4.0 ICS
    http://www.chromium.org/Home/ice-cream-sandwich-support-deprecation-faq
    Google coraz bardziej się pogrąża. Brak aktualizacji dla WebViewa, a teraz to.

    Odpowiedz
    • 2015.03.04 11:32 Linuxxx:)

      Ten system ma już swoje lata. Telefony z nim wydawane i tak nie uciągną Chrome, a jeśli tak to powinny dostać aktualizację.

      Odpowiedz
  • 2015.03.04 08:27 Jdoe

    Rekomendacje wprowadzają w błąd. U mnie na CM11 (KitKat 4.4) freakattack.com twierdzi, że Google Chrome jest podatny (wersja 40.0.2214.109). Niepodatny jest natomiast Firefox 36.0. W podatności najgorsze jest to, że każda apka, która kprzysta z UI.WebView jest z automatu podatna.

    Odpowiedz
    • 2015.03.04 14:35 Marcin

      Na moich obu przeglądarkach pod Windowsem: IE 11 i Firefox 36, dostaję komunikat:
      „Warning! Your client is vulnerable to CVE-2015-0204. Even though your client doesn’t offer any RSA EXPORT suites, it can still be tricked into using one of them. We encourage you to upgrade your client.”

      Odpowiedz
  • 2015.03.04 09:06 maslan

    Ja pier*** te nazwy ataków/podatności już mnie dobijają.

    Odpowiedz
    • 2015.03.04 09:37 mnmnc

      Wolisz „CVE-2015-0204”?

      FREAK nie brzmi co prawda profesjonalnie, natomiast BEAST czy CRIME to moim zdaniem calkiem ciekawe nazwy, a dzieki ich nazwom latwiej zakomunikowac osobom decyzyjnym, co to za atak, czego dotyczy i jakie sa jego konsekwencje. Dzieki popularnym nazwom latwiej tez zrobic wokol nich rozglos dzieki czemu osoby decyzyjne maja szanse osluchac sie na ich temat z kilku zrodel.

      Moim zdaniem kazda dziedzina zwiazana z bezpieczenstwem IT (ssl, przegladarki, popularne protokoly itd) powinna miec swoj wlasny namespace z nazwami dla najpowazniejszych podatnosci. Moze niekoniecznie nazwy postaci z ToyStory jak w Debianie, ale cos na ten ksztalt.

      Poziom bezpieczenstwa i kasa przeznaczona na jego poprawe, w duzej mierze zalezy od poparcia i wsparcia finansowego przecietnych ludzi nie zwiazanych z IT. Tylko w ten sposob mozna do nich dotrzec. Nie przez CVE ;)

      Odpowiedz
    • 2015.03.04 10:11 steppe

      Niestety taka moda :(

      Odpowiedz
    • 2015.03.04 11:33 Linuxxx:)

      Przynajmniej tym razem odpuścili sobie logo.

      Odpowiedz
    • 2015.03.04 23:09 kolo

      Ten atak powinien nazywać się „RSA_Export”. Taka nazwa od razu mówi o co chodzi i dzięki komu go zawdzięczamy.

      Odpowiedz
  • 2015.03.04 10:46 aqz

    Co ma obrazować ten screen z Safari, bo chyba nie bardzo rozumiem.

    Odpowiedz
    • 2015.03.04 13:47 qq

      Popatrz jeszcze raz i pomyśl jak Amerykanin.

      Odpowiedz
  • 2015.03.04 20:57 Asssaa

    Ten atak to swoiste nihil novi. Ogólnie bezpieczeństwo IT stoi w Polsce na żałośnie niskim poziomie. Ale jest nadzieja, kiedyś ludzie nie wiedzieli co to jest komputer, nie mieli muzyki ale teraz są komputery , widziałem można mieć telewizor itd.

    Odpowiedz
  • 2015.03.04 21:13 Daxx

    A co oznacza Assessment failed: Unable to connect to server https://www.ssllabs.com/ssltest/analyze.html?d=szpitalmiejski.eu ? Tam nic nie mają czy jak ?

    Odpowiedz
  • 2015.03.06 12:50 miro

    A jak tam nasze serwery rządowe?
    Ktos sprawdzał podatności serwerów naszej administracji?

    Odpowiedz
  • 2015.03.06 12:52 Ninja

    Android KK, Opera 27.0.1698.89115: Vulnerable!

    Odpowiedz

Zostaw odpowiedź do maslan

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

5 milionów serwerów podatnych na FREAK, nowy atak na protokół SSL

Komentarze