История с выявлением в SSLv3 уязвимости POODLE (http://www.opennet.me/opennews/art.shtml?num=40833) (CVE-2014-3566), позволяющей извлечь из зашифрованного канала связи закрытую информацию, что привело к массовому прекращению поддержки SSLv3 в браузерах и в серверном ПО, получила продолжение. Адам Лэнгли (Adam Langley), известный эксперт по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS, сетевой стек Chrome и разработку BoringSSL, сообщил (https://www.imperialviolet.org/2014/12/08/poodleagain.html) о выявлении метода применения атаки POODLE для некоторых сайтов, использующих TLS 1.0 и 1.1 (CVE-2014-8730).Суть проблемы заключается в том, что применяемый в TLS метод добавочного заполнения (padding), используемый для выравнивания зашифрованных данных по границе CBC-блока, является подмножеством метода заполнения SSLv3, что позволяет использовать функции декодирования SSLv3 с TLS. Сам по себе метод заполнения в TLS защищён от атак, подобных POODLE, но использование в реализациях TLS функций, изначально написанных для SSLv3, приведёт к пропуску проверки размера добавочного заполнения - на первый взгляд для штатных соединений всё будет работать нормально, но данные системы станут уязвимыми для атаки POODLE, несмотря на то, что они используют TLS.
По предварительной оценке (https://community.qualys.com/blogs/securitylabs/2014/12/08/p...) проблеме подвержено около 10% сайтов, использующих TLS. При этом проблемы наблюдаются и среди крупных ресурсов, например, данная уязвимость затрагивает сайты Банка Америки, компании VMware и Министерства по делам ветеранов США. Т.е. все данные системы, несмотря на использование TLS, оказались потенциально подвержены проведению MITM-атаки, специфичной для SSLv3. Проверить наличие уязвимости на своих системах можно воспользовавшись сервисом SSL Server Test (https://www.ssllabs.com/ssltest/).
Из проблемных пакетов, отмечаются старые версии NSS (https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS) (проблема была устранена в 2010 году), а также ряд проприетарных продуктов F5 (https://support.f5.com/kb/en-us/solutions/public/15000/800/s...) и A10 (http://www.a10networks.com/products/axseries-ssl_acceleratio...). В качестве надёжного метода защиты рекомендуется разрешить использование только TLS 1.2, который в настоящее время поддерживается (https://www.trustworthyinternet.org/ssl-pulse/) приблизительно на 50% сайтов в глобальной сети. Инженерный комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры сети Интернет, рассматривает (https://www.ietf.org/mail-archive/web/tls/current/msg14058.html) возможность публикации рекомендации по прекращению браузерами обработки HTTPS-соединений, установленных с использованием протокола ниже TLS 1.2.
Напомним, что атака POODLE (Padding Oracle On Downgraded Legacy Encryption) позволяет восстановить содержимое отдельных секретных идентификаторов, передаваемых внутри зашифрованного соединения. Для организации атаки требуется получение контроля за трафиком на промежуточном шлюзе и выполнение на стороне браузера клиента JavaScript-кода злоумышленника (в случае получения контроля над транзитным шлюзом, осуществить подстановку JavaScript-кода в незащищённый трафик не составляет труда). Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить идентификационные данные, в рамках общего шифрованного канала связи.Манипулируя тем, что отправляемое JavaScript-кодом содержимое известно за исключением секретного идентификатора, атакующий путем повторной отправки подставных запросов может символ за символом восстановить содержимое искомых данных. Для сокращения числа попыток используется такая особенность SSLv3, как пропуск проверки добавочных данных, сопровождающих зашифрованное сообщение. В частности, зная позицию cookie в зашифрованном сообщении на подконтрольном атакующему узле производится реорганизации SSL-сообщения, путём копирования части cookie в хвост. В большинстве случаев подобная манипуляция приводит к искажениям при расшифровке, но с вероятностью 1 к 256 сообщение декодируется верно, что сигнализирует о правильно подобранном символе. В зависимости от сложности ситуации на подбор Cookie атакующему может потребоваться от 1 до 10 минут.
URL: http://arstechnica.com/security/2014/12/meaner-poodle-bug-th.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41219
Богат год на нахождение серьезных дыр.
Год богат на раздувание маркетолухами из мухи слона. Придумывание названий багам и трубёж на весь свет о них.
Я с вами несогласен!
Любая огласка о "дырах" заставляет *всех* не расслабляться.Наконец-то начинают работать простые правила: "никому не доверяй", и "доверяй но проверяй". Что следовательно сейчас и происходит со стороны вошедших в тренд событий связанных с взломами, багами, и т.п. и т.д.
Уверен, 95% из всех кто читает это сообщение подвергся эксплоитам которые были найдены в этом году, например такие как:
-- Эксплоит с башем = Мощность DDoS атак за те же деньги увеличилась в десятки раз.
-- Эксплоит с SSL -> спам рассылки еще более активизировались из-за полученных практически "за просто так" баз данных с других крупных и не очень проектов.
-- В ваших access.log сайтов появилось еще больше crawlers + запросов вида for( ;; ) ping hacker.domainТак что пусть лучше СМИ трубят, и заставляют суетиться всех в этой каше вариться.
На мой взгляд это процесс естественной эволюции во всех сферах.
> -- Эксплоит с SSL -> спам рассылки еще более активизировались из-за полученных
> практически "за просто так" баз данных с других крупных и не очень проектов.Более того, наверняка умыкнули уйму номеров кред, паролей и прочего добра.
Чем плохо трубирование на весь мир ? А вот про маркетологов согласен.
> Год богат на раздувание маркетолухами из мухи слона.В криптографии не бывает мелочей. Как известно, у безопасности есть 2 уровня: "high" и "нехай".
Если я правильно понял, то уязвим не сам протокол TLS, а его реализации, использующие legacy код. В этом случае нужен список ПО, в котором есть эта бага. Особенно интересно, уязвим ли OpenSSL и LibreSSL.
https://support.f5.com/kb/en-us/solutions/public/15000/800/s...
По ссылке (в статье есть, кстати) список продуктов одной компании, подверженых уязвимости, но ничего не сказано об используемых библиотеках.
Кратко о том, что я смог найти о данном варианте использования POODLE:
- эксплуатация возможна при использовании поточных шифров в режиме CBC. GCM безопасен.
- уязвимы старые версии NSS и, видимо, некоторые проприетарные продукты. Про OpenSSL/LibreSSL не известно.
и то и другое.
в "небезупречном "by design", архитекртурно, подходе - еще и усугублено в разЫ, драматически, конкретными реализациями.
но это все совпадение, наверное ;)
Ага, точно. %)