Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов

01.03.2016 20:39

В выпущенных сегодня обновлениях библиотеки OpenSSL 1.0.1s и 1.0.2g устранена опасная уязвимость (CVE-2016-0800), позволяющая совершить новый вид атаки на HTTPS - DROWN. Уязвимость не специфична для OpenSSL и затрагивает непосредственно протокол SSLv2, который в 2011 году переведён в разряд устаревших и уже практически не используется. Тем не менее проблема остаётся актуальной, применима к защищённым сеансам TLS и затрагивает приблизительно 33% всех сайтов, доступных по HTTPS, или 25% из миллиона крупнейших сайтов в Сети (например, уязвим даже yahoo.com).

Атака позволяет вклиниться в шифрованный канал связи, если предварительно атакующим удалось получить контроль над промежуточным шлюзом или вынудить пользователя подключиться к подконтрольному атакующим серверу доступа (MITM). Завладев промежуточным шлюзом атакующий может притвориться HTTPS-сервером или почтовым сервером к которому обращается пользователь и получить полный контроль над шифрованным трафиком, принимая запросы от клиента и транслируя их к реальному серверу, организовав таким образом скрытое прослушивание и при необходимости внося изменения в трафик. Пользователь при этом не заметит подвоха и будет уверен в успешности установки защищённого соединения.

Суть уязвимости сводится к возможности расшифровки шифротекста RSA без знания закрытого ключа RSA. Проблеме подвержены серверы, в которых присутствует поддержка SSLv2, а также серверы на которых применяются закрытые ключи RSA, используемые совместно с сервером, поддерживающим SSLv2 (например, web-сервер можно атаковать, даже если он не поддерживает SSLv2, но использует один ключ с почтовым сервером, на котором доступен SSLv2). Уязвимость может применяться для организации кросс-протокольной атаки, нацеленной на расшифровку сеансов, в которых используются современные протоколы шифрования (TLSv 1.0 - 1.2), пользуясь тем, что обычно в TLS и в SSLv2 совместно используется один и тот же ключ RSA.

Атака достаточно сложна в реализации и требует стечения определённых факторов. Для восстановления одного сеансового ключа атакующему необходимо выполнить примерно 2^50 вычислительных операций (8 часов вычислений в облаке Amazon EC2, стоимостью $440) и инициировать несколько десятков тысяч соединений с целевым сервером. Подбор существенно упрощается и занимает около минуты в случае использования на сервере устаревших версий OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf, для ускорения атаки на которые можно задействовать ранее исправленную уязвимость CVE-2016-0703.

Для защиты серверов достаточно полностью отключить протокол SSLv2 или все специфичные для SSLv2 наборы шифров (только в версиях OpenSSL новее 1.0.1r и 1.0.2f, в более ранних выпусках отключения шифров недостаточно, так как атакующий всё равно может воспользоваться ими в составе экспортного набора). В представленных сегодня релизах OpenSSL 1.0.2g и 1.0.1s поддержка SSLv2 полностью отключена на этапе сборки, а уязвимые наборы шифров удалены из поставки. LibreSSL, GnuTLS и NSS атаке не подвержены, так как собираются без поддержки SSLv2. Проверить свой сервер на наличие уязвимости можно на сайте test.drownattack.com.

В новых выпусках OpenSSL также устранено несколько заслуживающих внимания узявимостей:

Уязвимость (CVE-2016-0799) в реализации функций BIO_*printf, которая отнесена разработчиками OpenSSL к категории неопасных, но выявившие проблему исследователи не столь оптимистичны и не исключают теоретическую возможность инициирования выполнения кода атакующего при обработке в BIO_printf очень большого блока данных, полученного из не заслуживающего доверия источника (например, при выводе через BIO_printf данных, введённых пользователем). Функции BIO_*printf достаточно популярны и, например, используются в PHP и Apache httpd.
Подверженность новой атаке по сторонним каналам (side-channel) CacheBleed (CVE-2016-0702), позволяющей восстановить содержимое 2048- или 4096-разрядного RSA-ключа, используя особенности обработки конфликтов в банках кэша процессоров на базе микроархитектуры Intel Sandy-Bridge. Для успешного восстановления ключа атакующий должен иметь локальный доступ к системе и добиться выполнения своего кода тем же ядром процессора (hyper-threaded), которое в текущий момент выполняет операцию дешифровки.
В процессе атаки моделируется содержимое кэша на основе измерения отклонения времени доступа к данным (при совпадении данные отдаются быстрее). Метод CacheBleed позволяет получить около 60% содержимого ключа 4096 RSA. На восстановление оставшихся данных требуется около двух часов процессорного времени (3 минуты вычислений на современном высокопроизводительном сервере). Уязвимость также присутствует в LibreSSL и в NSS.

исправить +11 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/43971-openssl

Ключевые слова: openssl, tls, ssl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (45)

1.1, Toto (?), 21:07, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	–37 +/–
https зло. рекламщики трут ручки в предвкушении, когда оно будет повсеместно

2.8, rshadow (ok), 23:26, 01/03/2016 [^] [^^] [^^^] [ответить]	+4 +/–
> https зло Почему это?

3.10, Аноним (-), 00:17, 02/03/2016 [^] [^^] [^^^] [ответить]	+14 +/–
Потому что Тото прочитал только заголовок статьи...

2.16, Аноним (-), 02:31, 02/03/2016 [^] [^^] [^^^] [ответить]	+5 +/–
А что добро? Открытое соединение где даже уязвимостей ну нужно чтобы слушать? Или ты свой протокол изобрёл?

3.37, kaktak (??), 15:25, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
а зачем тебе повсеместно в вэб "закрытое" соединение? на форумах секретную информацию прослушают? банкинг допустим вообще тунеллировать давно пора, единственное где секурность нужна, а повсеместное применение https только открывает дорогу рекламе

3.46, Аноним (-), 21:36, 02/03/2016 [^] [^^] [^^^] [ответить]

+/–

> А что добро? Открытое соединение где даже уязвимостей ну нужно чтобы слушать?
> Или ты свой протокол изобрёл?

И не говорите!!!
Так многие лохи и на улицу до сих пор в XXI веке без черных очков выходят, что их и без специальных приборов узнать можно.

2.23, Тот_Самый_Анонимус (?), 09:22, 02/03/2016 [^] [^^] [^^^] [ответить]	+4 +/–
>https зло Тоже так считал, ибо во многих случаях - напрасная трата электричества. Однако новость со вставкой билайном рекламных блоков в незащищённые страницы делает https оправданным.

3.26, odd.mean (ok), 10:32, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
Если уж тратить электричество, то уж лучше с пользой. Всё лучше, чем плэйном login:password передавать.

4.34, Аноним (-), 13:29, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
Ну, была же удаленная уязвимость, позволявшая незнакомцу почитать, что ты там за login:password передавал. Так что, не всё так однозначно.

4.40, Нимано (?), 16:30, 02/03/2016 [^] [^^] [^^^] [ответить]

+/–

> Если уж тратить электричество, то уж лучше с пользой. Всё лучше, чем
> плэйном login:password передавать.

Внезапно: пароли вообще передавать не обязательно.

Но вместо вменяемой поддержки такого стандарта, кое-кто (не будем показывать пальцем на наглую рыжую морду и цветной шарик) почему-то предпочел запихнуть в браузеры WebRTC, P2P и остальные свистелки и перделки.

5.49, Аноним (-), 10:56, 04/03/2016 [^] [^^] [^^^] [ответить]	–1 +/–
>> Внезапно: пароли вообще передавать не обязательно. А что тогда передавать? Отпечатки пальцев или скан сетчатки глаз?

6.50, Нимано (?), 15:05, 04/03/2016 [^] [^^] [^^^] [ответить]

+/–

>>> Внезапно: пароли вообще передавать не обязательно.
> А что тогда передавать? Отпечатки пальцев или скан сетчатки глаз?

Навскидку, примитивно-наивный, самопальный метод:
send(Vasyan:sha256(timestamp + sha256(password)) )
или
send(Vasyan:PBKDF2(timestamp + PBKDF2(password)) )

А еще можно этим самым паролем шифровать.
send(Vasyan:encrypt("это я!" + timestamp, pbkdf2(password)))

А так – много их, как устаревших, так и не очень и вместо глупой попытки съязвить, мусье мог бы и поинтересоваться и погуглить:
https://ru.wikipedia.org/wiki/Вызов-ответ_(аутентификация)
https://ru.wikipedia.org/wiki/SCRAM
https://ru.wikipedia.org/wiki/SRP
https://ru.wikipedia.org/wiki/OCRA
https://ru.wikipedia.org/wiki/CRAM-MD5
https://ru.wikipedia.org/wiki/CHAP
https://ru.wikipedia.org/wiki/Протокол_Диффи_—_Хеллмана

3.31, . (?), 12:21, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
да ну нафиг - перейдут все на защищенное соединение - будет вставлять и в защищенные. Просто заставит вас установить свой сертификат - а не установите, в пункте 16458.273574.c.LXXXVII оферты ясно же написано - мы вам на других условиях https предоставлять не обещали.

4.35, Аноним (-), 14:06, 02/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Поэтому нужен сетевой нейтралитет.

3.36, kaktak (??), 14:11, 02/03/2016 [^] [^^] [^^^] [ответить]	–4 +/–
Только не забывай, что сегодня в http с рекламой можно бороться с помощью adblock, privoxy и тд, а вот когда тебе будут вкорячивать рекламу в https ничего уже не поделаешь

4.38, Аноним (-), 15:45, 02/03/2016 [^] [^^] [^^^] [ответить]	+2 +/–
а какая разница? адлобку пофиг какую рекламу резать, терминирование-то на клиенте происходит, далее адблок работает уже с пейлоадом

5.39, anonymous (??), 16:05, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
адблок еще для openwrt бывает

5.42, данунах (?), 19:24, 02/03/2016 [^] [^^] [^^^] [ответить]	–3 +/–
> адблоку пофиг ну расскажите всем как софт для домохозяек режет рекламу в https-сессии, в таком случае. у вас есть возможность взорвать интернет

6.51, Аноним (-), 04:11, 05/03/2016 [^] [^^] [^^^] [ответить]	+/–
Поставь на всех концах uBlock. Обязательно на роутере рекламу резать?

1.2, Аноним (-), 21:28, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
TLS 1 3 на подходе, обратной совместимости и даунгрейда не будет The best way t... большой текст свёрнут, показать

2.30, Гость (??), 12:16, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
>It eliminates the possibility of compression. И зачем надо было это убирать.

3.33, анонимус (??), 13:17, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
>>It eliminates the possibility of compression. > И зачем надо было это убирать. для устранения очевидной side-channel атаки

3.52, Аноним (-), 04:13, 05/03/2016 [^] [^^] [^^^] [ответить]	+/–
А зачем оно надо? Сжимать данные надо до этапа шифрования.

1.3, Аноним (-), 21:32, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
LibreSSL не подвержен. SSLv2 выкинули чуть ли не первым делом после форка. Из 8-ми уязвимостей в родительском проекте, OpenSSL, лишь две перекачевали в LibreSSL, которые нерелевантны для самой OpenBSD в виду других средств защиты применяемых в ОС. Насчёт других ОС не вкурсе, но обе уязвимости малозначительны. http://undeadly.org/cgi?action=article&sid=20160301141941

2.20, mebiuslu6 (?), 08:37, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
Хм, это значит что с ним эти сайты вообще не откроются?

3.27, nmorozov (ok), 10:38, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
Не откроются скорее всего, если там нет параллельно поддержки более новых chipersuites. PS. В LibreSSL выпилен ГОСТ и FIPS так, что там в принципе не откроюся HTTPS сайты развернутые для гос органов причем как наших так и американских.

4.41, Wladmis (ok), 17:39, 02/03/2016 [^] [^^] [^^^] [ответить]

+1 +/–

> В LibreSSL выпилен ГОСТ и FIPS так, что там в принципе не откроюся HTTPS сайты развернутые для гос органов причем как наших так и американских.

В LibreSSL захакали новую реализацию ГОСТа:

http://undeadly.org/cgi?action=article&sid=20141209095711&mode=flat

$ uname -srv && openssl list-cipher-algorithms | grep -i gost
OpenBSD 5.8 GENERIC.MP#4
gost89
gost89
gost89-cnt
gost89-ecb

1.4, grsec (ok), 22:17, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ЕМНИП недавно в Германии кто-то проводил аудит openssl и делал вывод, что проблем нет.

2.7, Аноним (-), 22:56, 01/03/2016 [^] [^^] [^^^] [ответить]	+5 +/–
> кто-то проводил аудит openssl и делал вывод, что проблем нет. В библиотеке нет, а в протоколе есть.

2.13, Аноним (-), 00:49, 02/03/2016 [^] [^^] [^^^] [ответить]	–3 +/–
Наивный мальчик, доверяет заявлениям спецслужб. Заявлениям спецслужб, Карл!

2.32, . (?), 12:28, 02/03/2016 [^] [^^] [^^^] [ответить]

+/–

> ЕМНИП недавно в Германии кто-то проводил аудит openssl и делал вывод, что
> проблем нет.

вы бредите. К тому же никакой аудит не позволяет делать таких выводов, если это профессионалы - они скажут "мы не смогли их обнаружить". Вывод "проблем нет" делается на основании доказательства правильности кода - которое практически нереально.
А тут и аудит просто невозможен разумными усилиями - именно по этой причине пришлось рожать форки. Закрасить проще, чем отмывать.

Оно и в целом омерзительно написано (поскольку наколенный самодельный проект одного человека начали с дурной упертостью пихать в мэйнстрим), включая и его интерфейсы для программистов, и плюс сам набор протоколов чудовищно уродлив, то есть его при всем желании нельзя написать чисто, понятно и красиво.

1.9, Аноним (-), 00:13, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]

–2 +/–

Q3: Which processor versions are vulnerable?

We performed our tests on an Intel Xeon E5-2430. We believe that all Sandy Bridge processors are vulnerable. Earlier microarchitectures, such as Nehalem and Core 2 may be vulnerable as well.

Our attack code does not work on Intel Haswell processors, where, apparently, cache-bank conflicts are no longer an issue.

1.11, s0t (?), 00:41, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
о, как оно протухло

1.12, s0t (?), 00:44, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
а этот сервак из-за кривизны рук сисадминов до сих пор не перешел на норламьные серты

2.14, Аноним (-), 01:47, 02/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Так ты не стесняйся, каждый раз когда что-то не нравится высылай деньги админам, на новые серты, на хостинг, на красивый дизайн. Контакты сам в состоянии найти?

3.43, s0t (?), 19:34, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
чем бесплатные не устраивают? даже на халяву и то лень нормально настроить

4.48, Andrey Mitrofanov (?), 10:02, 03/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
> чем бесплатные не устраивают? даже на халяву и то лень нормально настроить Бесплатные вдмины-то? :-<

2.18, Аноним (-), 07:41, 02/03/2016 [^] [^^] [^^^] [ответить]	+/–
палемон ему не доверяет, а хромогиум — вполне, так что хз, что там протухло в цепочке из комодов и клаудфларе

1.17, Аноним (-), 03:40, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>Для защиты серверов достаточно полностью отключить их от интернета

1.19, Аноним (-), 07:43, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> SSL2 ... yahoo.com Спасибо, не удивлён. Эта компостная яма воняет на весь топ100

1.24, Сергей (??), 09:34, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Я бы обратил внимание на <<Атака позволяет вклиниться в шифрованный канал связи, если предварительно атакующим удалось получить контроль над промежуточным шлюзом или вынудить пользователя подключиться к подконтрольному атакующим серверу доступа>>, т.е. атака не напрямую на пользователя, а через шлюз...

1.25, odd.mean (ok), 10:29, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> инициировать несколько десятков тысяч соединений Душеспасителен fail2ban, всегда подозревал.

1.44, Аноним (-), 20:58, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

А вот и результат. Собираю git-2.7.2 в Gentoo:

/usr/lib/gcc/x86_64-pc-linux-gnu/5.3.0/../../../../lib64/libcurl.so: undefined reference to 'SSLv2_client_method'

Идти в багзиллу или подождать день-другой...

2.45, Аноним (-), 21:05, 02/03/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Полечилось пересборкой curl, вдруг кому пригодится.

1.47, Andrey Mitrofanov (?), 09:47, 03/03/2016 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Отлично, самый большой "дрруг" по-прежнему забоитится о нас. Эмблему, имя собственное, отдельный сайт, и отдельную новость на опенет!, на каждый чих ^W патч.

"И вот теперь, начиная с 2013-го года, у нас простые ошибки в СПО (неисправность в строке или двух) попадают в центр внимания и получают имена собственные, эмблемы и пр., при этом критические "zero-day" дефекты от самого Майкрософт-а едва ли попадают в заголовки."

http://www.opennet.me/openforum/vsluhforumID3/105391.html#15

***Хорошо, что у нас тут не RSDN-какой, а то б каждый вторник по 150 эмблем-кликух-сайтов и отдельных новостей! Во ихние админы мучаются-то?!

игнорирование участников | лог модерирования

Добавить комментарий

Текст: