SIKKERHET

Gammel kryptosårbarhet er tilbake. Facebook blant de berørte

Slutt å bruke RSA-kryptering, er rådet.

Mange nettsteder hvor trafikken er beskyttet med HTTPS, TLS, RSA og PKCS #1 v1.5, kan avlyttes.
Mange nettsteder hvor trafikken er beskyttet med HTTPS, TLS, RSA og PKCS #1 v1.5, kan avlyttes. Illustrasjon: Ange Albertini, Colourbox. Montasje: digi.no
Harald BrombachHarald BrombachNyhetsleder
13. des. 2017 - 12:42

For 19 år siden, i 1998, fant kryptografieksperten Daniel Bleichenbacher en alvorlig sårbarhet i SSL (Secure Sockets Layer), forgjengeren til TLS som i dag brukes til å kryptere mye av trafikken som går mellom nettlesere og nettsteder, blant annet nettbanker og sosiale medier, men også digi.no. 

Sårbarheten gjorde det mulig for angripere å dekryptere kryptert trafikk, uten å kjenne den hemmelige, private nøkkelen. 

ROBOT

Nå har sikkerhetsforskere oppdaget at en variant av sårbarheten fortsatt er temmelig utbredt, ikke minst hos mange av de største nettstedene. Hele 27 av verdens 100 mest besøkte nettsteder var berørt da sikkerhetsforskerne testet dem i november. 

Sikkerhetsforskerne har gitt sårbarheten navnet ROBOT (Return Of Bleichenbacher’s Oracle Threat). 

Sårbarheten er tilsynelatende mindre utbredt hos mindre nettsteder. Blant verdens 1 million mest besøkte nettsteder, er andelen ikke høyere enn 2,8 prosent. 

Hovedårsaken til denne fordelingen ser ut til å være at den nye varianten av sårbarheten primært finnes i de kostbare, kommersielle sikkerhetsproduktene som en del store nettsteder bruker til å håndheve sikkerheten. 

– Vi har identifisert sårbare implementeringer fra minst sju leverandører, inkludert F5, Citrix og Cisco, skriver sikkerhetsforskerne på et eget nettsted. En liste over produkter hvor sårbarheten allerede har blitt fjernet, finnes her

Sikkerhetsforskerne har ikke oppgitt hvilke produkter som fortsatt er sårbare. 

Leste du denne? Microsoft gjorde hemmelig krypteringsnøkkel tilgjengelig for alle ERP-kundene (Digi ekstra)

Facebook

Facebook er blant de mest kjente nettstedene som var berørt av sårbarheten. Dette skyldtes ikke bruk av noen av kommersielle sikkerhetsprodukter, men at selskapet benyttet en versjon av OpenSSL som de selv hadde gjort endringer i. Feilen skal ha blitt introdusert gjennom én av disse endringene. Dette skriver sikkerhetsforskerne i en omfattende rapport om sårbarheten.

I dette tilfellet er sårbarheten knyttet RSA-algoritmen for nøkkelutveksling mellom klient og server, når sikkerheten er forsterket med det som kalles for «PKCS #1 1.5 padding», som innebærer at man utvider dataene som skal krypteres med et antall vilkårlige bit, før dataene krypteres.

Sårbarheten tilhører en type sårbarheter som kalles for «orakel». I dette tilfellet betyr det at angripere kunne sende serveren en vilkårlig session-nøkkel og spørre om den er gyldig. Serveren ville da svare «ja» eller «nei».

Ved å sende mange slike forespørsler, vil angriperen kunne gjette seg fram til session-nøkkelen. Dette gjøres ved hjelp av det som kalles for et «adaptive chosen-ciphertext attack».

Ingen universalnøkkel

Ifølge Bleeping Computer er det verdt å merke seg at angriperen altså ikke får tilgang til TLS-serverens private nøkkel ved hjelp av dette angrepet. I stedet er session-nøklene til hver individuelle forbindelse med klienter som angriperen får kloa i. Dette er engangsnøkler for én nettleserøkt. Det skal være svært krevende å bruke angrepet til å dekryptere store mengder HTTPS-trafikk, men overkommelig å gjøre det i rettede angrep.

ROBOT er ikke den første nye varianten av angrepet som Bleichenbacher oppdaget. Tvert imot har det blitt utviklet nye varianter av dette angrepet både i 2003, 2012, 2014 og 2015. Det mest kjente angrepet er likevel DROWN, som ble kjent i mars 2016. Det var knyttet til den gamle SSLv2-teknologien, som det ikke er noen grunn til at webservere skal støtte. Likevel var omtrent hvert tredje HTTPS-nettsted sårbart for angrepet. 

Årsaken til at dette angrepet stadig dukker opp i nye former, er ifølge sikkerhetsforskerne at TLS-designerne valgte å fortsette å bruke PKCS #1 1.5. I stedet for å skifte ut teknologien med en bedre variant, RSA-OAEP, la de til visse mottiltak som skal gjøre det umulig å skille mellom gyldige og ugyldige chiffertekster. Men feilaktig implementering av disse mottiltakene kan altså få alvorlige konsekvenser. 

Ifølge sikkerhetsforskerne er seksjonen for Bleichenbacher-mottiltak i den nyeste TLS 1.2-standarden utrolig kompleks, slik at det ikke er overraskende at mottiltakene ikke alltid er implementert på riktig måte.

Les også: På 50 sekunder klarer de å lure til seg nøkkelen på krypteringen som skal være «umulig» å knekke

Bør deaktiveres

Det viktigste rådet til nettstedadministratorer og andre som måtte lure på om deres nettsted er berørt av sårbarheten, er at de fullstendig deaktiverer støtten for RSA-chiffersamlinger. 

– De fleste moderne TLS-forbindelser bruker Elliptic Curve Diffie-Hellman-basert nøkkelutveksling og behøver RSA bare til signaturer. Vi mener at RSA-baserte krypteringsmodi er så risikofylte at det eneste trygge er å deaktivere dem. I tillegg mangler disse modiene «forward secrecy», skriver sikkerhetsforskerne.

Utdaterte enheter i bruk

Sikkerhetsforskere har oppdaget av mange av de berørte nettstedet benytter sikkerhetsprodukter fra Cisco ACE-produktfamilie. Disse har ikke blitt solgt på flere år og vil ikke bli oppdatert av Cisco. Problemet med disse er at de ikke støtter andre chiffersamlinger enn RSA. Sikkerhetsforskerne mener at det ikke vil være mulig å bruke disse til å tilby TLS-forbindelser på en sikker måte, men påpeker at det ser ut til at Cisco selv bruker slike enheter i forbindelse med cisco.com-nettsteder.

På toppen av ROBOT-nettstedet er det et felt som kan brukes til å teste om nettsteder er sårbare for ROBOT-angrep og om de har støtte for RSA-basert kryptering.

Les også: Har du hørt om «ansvarlig kryptering» før?

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.