Nok en gang må servere forsterkes og nettlesere oppdateres for å hindre avlytting av en mye brukt krypteringsteknologi. (Bilde: PantherMedia/Sergey Nivens)

Logjam

Alle de store nettleserne må oppdateres

Kan igjen narres til å bruke svak kryptering.

Sikkerhetsforskere har nok en gang funnet en sårbarhet som gjør det mulig for ondsinnede å få blant annet nettlesere til å bruke svak kryptering ved overføring av data til og fra en server. Forrige gang var i mars, da sårbarhetene som kunne utnyttes med FREAK-angrep (Factoring attack on RSA-EXPORT Keys) ble gjort kjent.

Mer om FREAK: Fjerner gammel krypto-sårbarhet

 

Logjam

Det er da også i stor grad de samme sikkerhetsforskerne, blant annet ved Microsoft Research, franske INRIA og flere amerikanske universiteter, som nå omtaler de nye sårbarhetene og angrepsmetodene, som kalles for Logjam.

Logjam-angrep utnytter sårbarheter knyttet til nøkkelutvekslingsmetoden Diffie-Hellman (D-H), som er en mye brukt kryptografi-algoritme som lar internettprotokoller enes om en delt nøkkel og forhandle om en sikker forbindelse.

Utvekslingsmetodenen er grunnleggende for protokoller som HTTPS, SSH, IPSec, SMTPS og andre som protokoller som avhenger av TLS.

Forskerne har oppdaget flere svakheter i hvordan D-H brukes.

Fjernet Stuxnet-sårbarhet: – Vidåpent i mer enn fem år 

Eksportsamlinger

I likhet med FREAK gjør Logjam det mulig for en «man-in-the-middle-angriper» å nedgradere sårbare TLS-forbindelser til gamle, 512 bits chiffersamlinger beregnet for eksport fra USA. Det gjør det mulig for en angriper både å lese og å endre dataene som sendes via forbindelsen.

Det er to vesentlige forskjeller mellom FREAK og Logjam.

Venom: Utbredt sårbarhet rammer nettsky-leverandører

Protokollfeil

Den ene er at mens sårbarheten som FREAK utnytter skyldes en feil i implementeringen, utnytter Logjam en svakhet i selve TLS-protokollen. Den andre forskjellen er den nevnte nøkkelutvekslingsmetoden. I FREAK-angrep er det en RSA-nøkkelutveksling som angripes.

For å utnytte slike sårbarheter må selvfølgelig klienten være sårbar, men samtidig må serveren støtte de svake chiffersamlingene. Alle servere med chiffersamlingen DHE_EXPORT er berørt.

Fortsatt usikre nettsteder: Enklere enn ventet å utnytte FREAK

Mange berørt

Ifølge forskerne er 8,4 prosent av verdens 1 million mest besøkte HTTPS-nettsteder berørt, i tillegg til mange epostservere.

Andelen øker betraktelig dersom man tar utgangspunkt i at blant annet myndigheter vil være i stand til å knekke 1024-bits primtall. Ifølge forskerne bruker millioner av HTTPS-, SSH- og VPN-servere de samme primtallene i forbindelse med Diffie-Hellman nøkkelutveksling.

– Å knekket det ene, mest brukte 1024-bits primtallet som brukes av webservere, vil åpne for passiv avlytting av forbindelsene til 18 prosent av de 1 million største HTTPS-domene. [Knekking av] et andre primtall vil åpne for passiv dekryptering av forbindelsene til 66 prosent av VPN-serverne og 26 prosent av SSH-serverne, skriver forskerne, som mener at NSA-lekkasjene mer enn antyder at NSA har oppnådd et slikt brudd.

I Norge: Hafslund-app med skjult lagring av tekstmeldinger 

Servere

Forskerne anbefaler derfor administratorer av web- og e-postservere som ikke har deaktivert støtten for eksportklasse-chiffersamlinger for å hindre FREAK-angrep, om å gjøre dette nå. Dessuten må de genere en unik Diffie-Hellman-gruppe på minst 1024, helst 2048 bits.

En oppskrift på hvordan dette kan gjøres, finnes her.

De nyeste utgavene av OpenSSH, både server og klient, skal også være sikre, da disse har Elliptic-Curve Diffie-Hellman Key Exchange som førstevalg.

Les også: Kan få enhver iPhone i nærheten til å krasje 

Nettlesere

Microsoft, som altså har vært involvert i forskningsarbeidet, kom allerede den 12. mai med en sikkerhetsoppdatering til Windows Server 2003, Windows Vista og nyere Windows-utgaver. Denne sørger for at den korteste Diffie-Hellman ephemeral-nøkkellengden (DHE) som tillates i Windows økes fra 512 til 1024 bit.

Det vil i alle fall hindre de enkleste Logjam-angrepene, også ved bruk av Internet Explorer.

Også andre nettleserleverandører planlegger å heve grensen for hvor korte DHE-nøkkellengder som tillates, til 1024 bit. Det samme gjelder også OpenSSL-prosjektet.

Mange flere detaljer finnes på dette nettstedet.

Symantec-rapport: Angriper de svakeste 

Til toppen