SSL v ohrožení: komunikaci je možné dešifrovat

Petr Krčmář 23. 9. 2011

SSL dostává v posledních měsících jednu ránu za druhou. Nejprve byly napadeny dvě certifikační autority, což vyvolalo řadu otázek okolo bezpečnosti modelu PKI. Nyní bylo napadeno samotné SSL a autoři útoku tvrdí, že mohou odposlechnout libovolnou komunikaci. V důsledku tak mohou odcizit cookie a celé sezení.

Thai Duong a Julian Rizzo, dva známí bezpečnostní analytici, předvedli zranitelnost SSL a TLS, která umožňuje odposlouchávat šifrovanou komunikaci dvou stran. Podle obou autorů byly zranitelnosti nalezeny prakticky ve všech aktuálních implementacích SSL/TLS a ohroženy jsou miliony webů, které se na šifrování spoléhají.

Podle dostupných informací je útok úspěšný i proti mechanismu HSTS, který zajišťuje, že jsou webové stránky načteny jen v případě, že jsou plně zašifrovány.

Útok nazvaný BEAST (zkratka Browser Exploit Against SSL/TLS) postihuje TLS 1.0, SSL 3.0 a všechny předchozí verze. Novější verze TLS 1.1 a 1.2 jsou proti němu odolné, ale zase nejsou téměř vůbec rozšířené v prohlížečích ani web serverech. Úspěšný útok tak může ohrozit uživatelské účty téměř na všech webech. Zmiňovány jsou zejména Google, PayPal a další.

BEAST je jiný než doposud publikované útoky proti HTTPS, komentoval útok Thai Duong. Zatímco ostatní se zaměřují na podvržení identity, BEAST útočí přímo na protokol. Pokud víme, je BEAST prvním útokem, který opravdu dešifruje HTTPS komunikaci. Zatím jsou k dispozici jen obecné informace, ale oba autoři chtějí během dnešního dne předvést reálný útok na PayPal v rámci své přednášky na konferenci Ekoparty security conference v Buenos Aires.

Už teď ale víme, na jakém principu útok BEAST pracuje. Staví na dlouho známé slabině TLS, kterou ale doposud nikdo nedokázal reálně využít a mnoho odborníků se domnívalo, že to vůbec není možné. Potíž je v tom, že jednotlivé bloky komunikace jsou šifrovány pomocí AES, která mění klíče podle obsahu předchozích bloků. BEAST se snaží tento proces zmanipulovat tak, aby byly jednotlivé bloky šifrovány stejnými klíči. U obsahu o nízké entropii (a přibližně známém obsahu) je pak možné spolehlivě odhadnout původní data.

BEAST se skládá ze dvou kroků a využívá klasického útoku man-in-the-middle, při kterém sleduje komunikaci klienta se servery. Jakmile dojde na spojení se zajímavým serverem, útočník podstrčí klientovi vlastní javascriptový kód například v přidaném iframe nebo přímým vložením do stahované stránky. Tento skript se postará o manipulaci šifrovacího algoritmu, který začne generovat slabě šifrované bloky.

Poté nastoupí klasický síťový sniffer, který komunikaci zachytí a dešifruje. Dešifrování ale neprobíhá v reálném čase, ale prolomení jednoho bajtu ze zachycené cookie trvá přibližně dvě sekundy. Pro získání kompletního identifikátoru sezení je tak potřeba řádově deset minut. Rizzo ale upozorňuje na to, že čas je možné v budoucnu významně zkrátit a útok odcizení identity provést téměř okamžitě.

Řešením je samozřejmě přechod na novější TLS verze 1.1 či 1.2. Přestože je první jmenovaná verze k dispozici už od roku 2006, využívá jí podle výzkumu firmy Qualys jen asi desetina procenta webů.

Šifrování na webu (Zdroj: Qualys)

Problém je v tom, že lidé nejsou ochotni věci zlepšovat, dokud k tomu nemají dobrý důvod. A tím je obvykle až úspěšný útok, říká Ivan Ristic, ředitel společnosti Qualys. To je strašné, že?

widgety

Ani Mozilla, ani projekt OpenSSL ještě TLS 1.2 neimplemen­tovali. Konkurenční Microsoft jej sice v Internet Exploreru i IIS má, ale není standardně zapnutý. Podobně je na tom Opera, která jej taky běžně nepoužívá. Podpora pro novější TLS tedy prakticky neexistuje, takže neexistuje ani snadná obrana proti útoku BEAST.

Google se nyní ve vývojové verzi svého prohlížeče Chrome snaží útoku bránit tím, že náhodně fragmentuje přenášená data do více šifrovaných bloků. Situace útočníka by se tím měla výrazně ztížit, protože nebude předem vědět, jaká data konkrétní blok obsahuje.

Zdroje k dalšímu čtení

Našli jste v článku chybu?
Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: DVB-T2 ověřeno: ČRa doplňují seznam

DVB-T2 ověřeno: ČRa doplňují seznam

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!