BI-ADS – Administrace sítí
České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů
Útoky na certifikační autority a SSL Jiří Smítka
[email protected]
8.10.2011
1/17
BI-ADS – Administrace sítí
Osnova ●
Případ COMODO
●
Případ DigiNotar
●
BEAST - útok na SSL (HTTPS)
8.10.2011
2/17
BI-ADS – Administrace sítí
Případ COMODO ●
●
Březen 2011: útok na CA COMODO Útočníkovi se podařilo nechat si vystavit 9 podvodných certifikátů, mimo jiné na: mail.google.com www.google.com login.yahoo.com login.skype.com addons.mozilla.org login.live.com
●
Certifikáty podepsala přímo kořenová CA
●
Útok byl prakticky vzápětí odhalen
8.10.2011
3/17
BI-ADS – Administrace sítí
Případ COMODO - reakce ●
●
●
Příslušné certifikáty byly ihned revokovány Šíření informace o revokaci přes CRL i protokol OCSP To však nestačí, protože: a) ne vždy umí programy (browsery) s informacemi o revokaci správně pracovat b) lze věřit informaci o revokaci (či ne-revokaci) od autority, které vydává certifikáty ta samá autorita ? => výrobci programů vydávají co nejrychleji opravy které vyjadřují příslušným certifikátům nedůvěru
8.10.2011
4/17
BI-ADS – Administrace sítí
Případ COMODO - zhodnocení ●
●
●
●
Útok se nezdařil, a to hlavně díky rychlé reakci CA COMODO a rychlému šíření informace o zneplatnění dotčených certifikátů Útok byl veden z Íránu (ComodoHacker) Nicméně – útok slušně prověřil připravenost této CA COMODO tento útok ustála, o důvěru nepřišla ...na rozdíl od DigiNotar
8.10.2011
5/17
BI-ADS – Administrace sítí
Případ DigiNotar – směr útoku ●
●
●
●
Vaši důvěru má v rukou někdo jiný Podvodný certifikát musí být vystaven na některou CA, které jsou prohlížeči považovány implicitně za důvěryhodné (jinak varování uživateli) Je třeba napadnout CA, jejíž kořenové certifikáty jsou vkládány do OS automaticky bez zásahu uživatele, např. je zařazena do programu MRCP (Microsoft Root Certificate Program), podle kterého Microsoft automaticky naplňuje svoje úložiště důvěryhodných certifikátů DigiNotar takovou autoritou je (byla)
8.10.2011
6/17
BI-ADS – Administrace sítí
Případ DigiNotar – terén pro útok ●
●
●
●
●
Audit infrastruktury provedla (po útoku) FoxIT Servery CA obsahovaly malware, který detekuje běžný antivirový sw (který nebyl nainstalován) Servery CA byly ve stejné LAN jako ostatní počítače (třeba i management firmy) Servery byly chráněné pouze jménem a heslem (hrubá síla vítězí) Software na serverech nebyl dlouho záplatovaný zdroj: http://www.net-security.org/secworld.php?id=11570 (odkaz platný ke dni 8.10.2011)
8.10.2011
7/17
BI-ADS – Administrace sítí
Případ DigiNotar – průběh útoku (I.) ●
●
●
●
Server CA byl hacknut pravděpodobně začátkem června 2011 (ne až v červenci, jak se uvádělo těsně po odhalení) 10. července byl vydán podvodný certifikát na služby google.com – přišlo se na to až 29.8.2011 !! Téhož dne byl revokován. Celkem bylo vydáno cca 500000 podvodných certifikátů Bylo kompromitováno asi 300000 íránských uživatelů gmailu
8.10.2011
8/17
BI-ADS – Administrace sítí
Případ DigiNotar – průběh útoku (II.) ●
●
●
●
od 4.8. do konce srpna byl masivni zájem o revokační informace z Íránu (99% dotazů na OCSP), což vedlo na teorii o probihajícím masivním útoku na uživatele v Íranu (u cca 40 providerů) K útoku byl použit na straně CA nástroj Cain & Abel a vlastní skripty, některé působí velmi amatérsky, jiné naopak velmi profi Podle všeho akce stejného jednotlivce či skupiny, která útočila na COMODO Samotné přesměrování přes upravené DNS (?)
8.10.2011
9/17
BI-ADS – Administrace sítí
Případ DigiNotar - reakce ●
●
●
Výrobci sw prohlásili všechny certifikáty DigiNotar za neplatné (ačkoliv byla napadena pouze jedna větev - SSL certifikáty) Teoreticky stačilo zneplatnit dotčené certifikáty Přehnaná reakce ? Možná - jenže DigiNotar nereagoval pružně a s výrobci sw nespolupracoval => - ztratil důvěru
●
to se nelíbilo v Nizozemsku, protože byly zneplatněny i certifikáty, které používá místní e-government
8.10.2011
10/17
BI-ADS – Administrace sítí
Případ DigiNotar - e-government ●
●
●
●
Úřady se ozvaly, ze by rády dostaly vyjímku pro ty certifikáty, které se používají pro potřeby e-governmentu Smysl vyjímky: aby zneplatnění nedopadalo na kvalifikované certifikáty klientů e-governmentu. Mozilla se již chystala žádosti vyhovět, jenže nizozemské úřady svoji žadost odvolaly Ukázalo se totiž, že rozsah a závažnost případu je mnohem větší a může se týkat i kvalifikovaných certifikátů a služeb.
8.10.2011
11/17
BI-ADS – Administrace sítí
Případ DigiNotar - důsledky ●
●
Nizozemský úřad OPTA (odpovídá našemu ĆTÚ) s účinností od 14.9.2011 odňal CA DigiNotar akreditaci DigiNotar následně zkrachovala (nikdo ji totiž nedůvěřoval) A jak je to v ČR ?
●
PostSignum a eIdentity mají stejnou strukturu certifikačních autorit (jedna root CA a několik dceřinných CA pro různé oblasti)
8.10.2011
12/17
BI-ADS – Administrace sítí
Útok BEAST – SSL v ohrožení ●
●
●
●
●
Autoři: Thai Duong & Julian Rizzo, na konferenci Ekoparty security conference v Buenos Aires předvedli v rámci přednášky reálný útok na PayPal BEAST = Browser Exploit Against SSL/TLS Útok postihuje TLS 1.0, SSL 3.0 a všechny předchozí verze. Novější verze TLS 1.1 a 1.2 jsou proti němu odolné, ale zase nejsou téměř vůbec rozšířené v prohlížečích ani na web serverech BEAST je prvním útokem, který opravdu dešifruje HTTPS komunikaci (ostatní falšují identitu)
8.10.2011
13/17
BI-ADS – Administrace sítí
Útok BEAST - princip ●
●
●
●
Jednotlivé bloky SSL komunikace jsou šifrovány pomocí AES, která mění klíče podle obsahu předchozích bloků. BEAST zmanipuluje proces tak, aby byly klíče pořád stejné. Pokud víme, jaký obsah je (přibližně) posílán, je možné spolehlivě odhadnout původní data. BEAST má 2 kroky: man-in-the-middle, klientovi je podstrčen javascriptový kód, šifra je pak slabá. Poté komunikaci zachytíme a dešifrujeme.
8.10.2011
14/17
BI-ADS – Administrace sítí
Útok BEAST – důsledky a řešení ●
●
●
●
Dešifrování jednoho bytu ze zachycené cookie trvá asi 2 sekundy. Na zachycení celého ID sezení potřebujeme 10 minut (normálního PC) Řešením je přechod na TLS 1.1 či 1.2 (má asi desetina webů) Jenže - v prohlížečích není podpora novějšího TLS implementovaná. Zdroj: http://threatpost.com/en_us/blogs/newattack-breaks-confidentiality-model-ssl-allows-theftencrypted-cookies-091611 (odkaz platný ke dni 8.10.2011)
8.10.2011
15/17
BI-ADS – Administrace sítí
Ochrana před útoky na SSL (HTTPS) ●
●
●
●
Zkraťte čas strávený na citlivých SSL spojeních na minimum. Než opustíte stránku chráněnou SSL, odhlašte se. Mnohdy tím zrušíte platnost ID spojení (cookie). Útočník nebude moci ID spojení použít, i kdyby ho již dekódoval. Administrátoři by měli ověřit, že se cookies opravdu při odhlášení ruší a že jsou cookies spojené s IP adresou, s kterou spojení vzniklo. Standardní bezpečnostní postupy i nadále fungují – útočník potřebuje přístup k síti nebo k Vašemu počítači.
8.10.2011
16/17
BI-ADS – Administrace sítí
Dotazy ?
8.10.2011
17/17