Ракрыты (http://openwall.com/lists/oss-security/2017/12/12/6) детали новой атаки на TLS, которая получила кодовое имя ROBOT (https://robotattack.org/) (Return Of Bleichenbacher's Oracle Threat). Проблема позволяет выполнить операции расшифровки трафика и формирования цифровых подписей без знания закрытого RSA-ключа уязвимого TLS-сервера. Атаке подвержены только режимы TLS-шифров, использующие RSA. В качестве демонстрации успешного проведения атаки было представлено произвольно составленное сообщение, подписанное закрытым ключом Facebook.Проблема выявлена на 27 из 100 крупнейших сайтов по рейтингу Alexa, включая Facebook и PayPal. При этом при рассмотрении миллиона крупнейших сайтов уязвимость наблюдается всего на 2.8% ресурсах. Подобное расхождение объясняется тем, что атаке подвержены в основном коммерческие реализации TLS (Cisco ACE, F5 BIG-IP SSL, Citrix NetScaler, Radware), применяемые в крупных проектах. Из открытых проектов уязвимость присутствует Erlang (http://erlang.org/), Java/JSSE (https://www.oracle.com/technetwork/topics/security/cpuoct201... WolfSSL (https://github.com/wolfSSL/wolfssl/), MatrixSSL (https://github.com/matrixssl/matrixssl/) и Bouncy Castle (https://github.com/bcgit/bc-java/). OpenSSL, LibreSSL и GnuLTS проблеме не подвержены, но не исключается возникновения уязвимости из-за применения неофициальных модификаций. Например, в Facebook используется OpenSSL, который оказался уязвим (https://eprint.iacr.org/2017/1189.pdf) из-за применения собственных дополнительных патчей. Причиной возникновения уязвимости называется неполная реализация мер защиты, описанных в секции 7.4.7.1 спецификации TLS.
Примечательно, что метод является незначительной модификацией первой практической атаки на RSA, предложенной Даниэлем Блейхенбахером (Daniel Bleichenbacher (https://en.wikipedia.org/wiki/Daniel_Bleichenbacher)) в 1998 году. Было выявлено, что спустя 19 лет многие HTTPS-хосты до сих пор подвержены вариациям данной атаки. Суть метода в том, что атакующий на основании разных ответов от сервера может отделить корректные и некорректные блоки добавочного заполнения (padding oracle) в режиме PKCS #1 v1.5. Отличие нового метода от оригинальной атаки Блейхенбахера (http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenb... заключается в использовании дополнительных сигналов для разделения типов ошибок, таких как таймауты, сбросы соединения и дубликаты TLS-оповещений. Манипулируя информацией о корректности блоков добавочного заполнения атакующий может путём перебора подобрать подходящий для сеанса сессионный ключ.Для сайтов, применяющих только шифрование на основе ключей RSA, атакущий может пассивно сохранить перехваченный трафик и позднее расшифровать его. Для HTTPS-хостов поддерживающих PFS (Perfect forward secrecy) успех атаки не так однозначен и зависит от того, как быстро будет проведена атака. Атака не восстанавливает непосредственно закрытый ключ, а только позволяет расшифровать шифротекст или сформировать поддельное подписанное сообщение. Проблеме подвержен не только TLS, но и другие протоколы в которых применяется RSA и PKCS #1 v1.5, включая XML Encryption, интерфейсы PKCS#11, JOSE (Javascript Object Signing and Encryption) и S/MIME.
Проверить свой сайт на наличие уязвимость можно через web-форму (https://robotattack.org/) или при помощи специального подготовленного скрипта (https://github.com/robotattackorg/robot-detect) на языке Python. В качестве обходного пути защиты рекомендуется отключить поддержку шифров на базе RSA (TLS_RSA*), за исключением шифров в которых RSA используется для создания цифровой подписи (шифры на основе эллиптических кривых с DHE и ECDHE в имени также не подвержены рассматриваемой атаке).URL: http://openwall.com/lists/oss-security/2017/12/12/6
Новость: http://www.opennet.ru/opennews/art.shtml?num=47730
Насколько нужно быть тупыми, чтобы использовать для шифрования закрытые коммерческие библиотеки? Воистину, идиотизм работников корпораций никогда нельзя недооценивать.
Его порой сложно переоценить...> Например, в Facebook используется OpenSSL, который оказался
> уязвим из-за применения собственных дополнительных патчей.
Ну очевидно, что на момент внедрения эти коммерческие библиотеки имели какое-то конкурентное преимущество. Потому их и внедряли.
Самое главное преимущество в энтерпрайзе: "Мы это купили, а значит они за это отвечают, а не мы". И так по цепочке вниз до какого нибудь студента, который вообще для диплома писал эту хрень и особо не парился.
Многие не верят, но это действительно так. Когда я в первый раз столкнулся с этими рассуждениями, я просто офигел. Теперь уже только привычно пожимаю плечами.
От чего вы офигели?Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете, что любое решение рано или поздно может сломаться. И вы можете либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания, кто ж знал-то?".
В каком случае вы выберете вариант с OpenSource.
Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО верит, или когда вы сам начальние прошу не рассматривать.
> От чего вы офигели?
> Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете,
> что любое решение рано или поздно может сломаться. И вы можете
> либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить
> что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания,
> кто ж знал-то?".
> В каком случае вы выберете вариант с OpenSource.
> Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО
> верит, или когда вы сам начальние прошу не рассматривать.например когда при приёмке поделки подрядчика вы уже 3 недели находите разные и новые ошибки после каждой доделки подрядчика
зы: другого подрядчика нет, или они пишут нужные подмодули или своими силами
выбор своих сил всё ближе
Если за результат отвечаете в любом случае вы, то делать самим, конечно, лучше (ну или аутсорсить зарекомендовавшим себя знакомым). Но часто выбор стоит между отвечать самому и сложить ответственность на другого, при этом нужно хорошо выглядеть в глазах начальства.
> Самое главное преимущество в энтерпрайзе: "Мы это купили, а значит они за это отвечают, а не мы".
> И так по цепочке вниз до какого нибудь студента, который вообще для диплома писал эту хрень и особо не парился.Вы когда-нибудь читали хоть одну EULA?
В двух словах:
1. Мы ни за что не отвечаем.
2. Если у вас что-то не работает/сломалось, то см. п. 1
а чем это отличается от GPL ?...
Хотя бы тем, что в EULA требуют не смотреть в пирожок, который подсовывают. В GPL подписываются сами и требуют от других привселюдно вывернуть его наизнанку.
Когда вы что-то покупаете за деньги в понятиях отношений ынтерпрайзов, то вы подписываете договор, в котором оговариваете права и обязанности сторон, форс-мажор и прочие вещи. EULA это совсем другое.
Потому, что круто купить брендовый программный продукт же. Печатными лицензими с голограммами рисоваться же.
Какое может быть конкурентное преимущество у продукта, который используется в целях безопасности, но представляет собой закрытое непроверенное нечто? Верить на слово его авторам, что там всё норм?
Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые. Но куда приятней думать, что что в руководстве больших компаний сидят идиоты не умеющие считать?
Куда приятней лежать на диване и считать себя умнее руководителей огромных корпораций, чем и занимается сей Аноним.
> Куда приятней лежать на диване и считать себя умнее руководителей огромных корпораций,
> чем и занимается сей Аноним.Куда приятней лежать на диване и считать, что руководителей огромных корпораций на самом деле беспокоит приватность твоих данных или твоя цифровая безопасность, особенно когда ответсвенность можно спихнуть на кого-то или вообще, "никто не узнает!".
Ну так может он и выплатит что-то. Только от этого пользователю продукта не легче.С другой стороны, я вполне поверю, что и обязательств никаких нет. В ToS винды вон прямо прописано, что любой ущерб больше $5 она не выплачивает, даже если ты умер из-за того что винда заглючила. Так что то что ты заплатил деньги абсолютно ничего тебе не гарантирует.
>Но куда приятней думать, что что в руководстве больших компаний сидят идиоты не умеющие считать?
Я работаю с одной из таких больших корпораций и прекрасно знаю, что там в руководстве сидят дядьки, которые вообще не в курсе что такое шифрование и какое оно бывает. Им какой-нибудь васян из отдела маркетинга выдал список вариантов, они выбрали самый дорогой или от самой известной компании, а в технические подробности не вдавались. А бывает что специалисты прямо говорят, что лучше с технической точки зрения, но на их мнение все ложили болт, потому что кто они, а кто большие дяди-директора. Потом несколько лет все плюются и заваливают дядь отчётами о том какую фекалию мы выбрали, и лет через 10 руководство великодушно принимает решение искать альтернативу. Находится такую же фекалию, только уже от другой компании, и круг повторяется по новой.
//Опеннет совсем поехал, уже слово "фекалия" в более обиходном варианте считает матом.
Вот только по факту большие компании ломают редко, а когда такое случается, то систему быстро восстанавливают. А почему? Да потому что в больших компаниях работают специалисты. И по безопасности и даже какой-то спец по статистике сидит, который может оценить вероятность и стоимость ущерба.
Всё там у них хорошо.
А Васяны это когда програмист админит, девочка-маркетолог отвечает на звонки и шеф надувает щёки. Но такие компании особо в коммерческие либы не лезут. Им бы чтобы хоть как-то работало.
> Вот только по факту большие компании ломают редко, а когда такое случается, то систему быстро восстанавливают.Кому какое дело, насколько быстро восстанавливают системы, если там успевают утечь миллионные базы учёток? А новостей таких было немало.
Сам-то в это веришь? Большие компании ломают так же как и маленькие, просто в разном стиле. Вон у скайпа стабильно раз в пару месяцев то лапы ломит, то хвост отваливается у серверов, а они отвечают отмазками в стиле "мы в курсе, в течение недели что-нибудь придумаем". А это между прочим один из самых популярных мессенджеров, и компания большая с опытом.>А Васяны это когда програмист админит, девочка-маркетолог отвечает на звонки и шеф надувает щёки.
Ну расскажи, что линукс делают васяны, а винду -- специалисты по безопасности. То-то у них стабильно всё работает, и даже компы после обновления в синий экран улетают реже чем каждый год.
Я не говорю что коммерческие компании работают хуже. Нет, не хуже, просто так же. Но в опенсорсе ты хотя бы можешь оценить продукт сам, особенно если это касается безопасности. А в закрытом шифровальщике ты покупаешь кота в мешке.
> Вот только по факту большие компании ломают редко, а когда такое случается,
> то систему быстро восстанавливают. А почему?А потому что см. недавнюю новость про Uber. Не рассказывают об этом никому, если в большом начальстве не объявится внезапно очень правильный чувак.
> Вот только по факту большие компании ломают редко, а когда такое случается,
> то систему быстро восстанавливают. А почему? Да потому что в больших
> компаниях работают специалисты.Тебя пох завербовал в Свидетели Святого Ынтырпрайза?
У ынтырпрайза есть свои плюсы и свои минусы. Что ему легче получить шуструю и вменяемую поддержку (платную, конечно) - факт. Другое дело, кто этим озаботился, а кто сэкономил - тут по-всякому бывает. И таки держать выделенную security team стоит денег. И опять - это не значит, что там, где деньги есть она существует и делает что-то осмысленное. Но шанс есть. Как и есть шанс замучить что угодно бюрократией насмерть.
Ты или тролль или никогда не работал в компании больше 10 человек.
Всё совершенно верно и точно описано.
возможно тебе стоит поработать в компаниях, больше 12ти.
Тогда ты узнаешь много интересного - в том числе, что большие дяди не любят разбрасываться большими деньгами, и потратить больше ста рублей инвесторских денег без тендера, условия которого пишут вовсе не генеральные директора и не инвесторы, а вполне себе инженеры, хрен у тебя получится.другое дело, что если ты сам криво написал, а старшие товарищи вовремя не одернули - куплено в результате будет то, что оказалось дешевле, и что соответствовало описанным требованиям - а не то что будет на самом деле работать.
Зависит от страны. В очень больших компаниях как правило ворочаются большие капиталы, и там +- пару миллионов в год вообще никого не волнуют. Конечно могут пожурить, если отчеты и реальные расходы совсем потеряли связь друг с другом, но убиваться за копейки никто не будет. Особенно когда какое-нибудь шифрование вообще не имеет отношения к деятельности компании, а является просто атрибутом её сайта, который где-то сбоку и админится всеми забытым отделом IT.
> Зависит от странывряд ли. "и хрен вы меня найдете" - идея интернациональная. Но, к сожалению, инвесторы не лохи (то есть они очень даже могут быть лохи во всем, кроме как раз идеи сп..ть денег и смотаться - именно так и нажили свои капиталы ;-)
разница скорее в том, что в околоэксовковой действительности еще есть, пусть и очень небольшой, шанс убедить инвестора выбрать хорошее решение самостоятельно, а в прочих местах - только через тендерную документацию.
> Особенно когда какое-нибудь шифрование вообще не имеет отношения к деятельности компании
тогда ты точно пойдешь настраивать наколеночное решение на базе ssl, еще не хватало тебе денег платить. "Вы же специалист, и мы вам платим офигенную зарплату (в два раза меньше средней по рынку, поскольку вы не имеете прямого отношения к тому, чем мы зарабатываем) - сделайте нам бесплатно - и срок исполнения вчера днем!"
> а является просто атрибутом её сайта, который где-то сбоку и админится
> всеми забытым отделом IT.угу, щас ему F5 купят, конечно же.
Вот пэйпалке какой-нибудь - купят. Вместе со стадом инженегров для настройки.
К отделу it, заметим, они отношения иметь не будут.
Волнует каждая копейка.
Ну согласен. Техническая грамотность руководства действительно играет большую роль.
Хотя частично-грамотные подчас вреднее полностью неграмотных. Сколько раз я слышал "Мы будем строить сеть на Cisco!". А на вопрос зачем, ответ "ну ты чооо, этож лидеры рынка у них всё самое самое! Поэтому у нас везде будут они". А потом начинается, что у лидеров покупаются самые дрищенские решение, а подчас начинают искать на б/у-барахолках, потому что денег нет, а хотим чтоб "всё от лидеров".А бывает закупят SCCM. И не знают что с ним делать. Начинают на него натягивать всё, что без него прекрасно решалось. Нанимают отдельных админов для него, штат разрастается. Красота-ляпота. Зато самое дорогое и крутанское решение!
Про то как у нас любят SAP внедрять я даже рассказывать не буду. Большие дяди любят считать копейки. Любят внедрять SAP за миллиарды, а потом страдать.
> //Опеннет совсем поехал, уже слово "фекалия" в более обиходном варианте считает матом.Тут разве медицинский форум?
> Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые.А я почему-то уверен, что в EULA прописан отказ от ответственности.
Крупные компании между собой обычно работают не по EULA, а заключают кастомный договор с особыми условиями. Если клиент крупный и платит хорошо, автору софта выгодно ему во всём помогать.
Все компании (юридические лица) всегда работают между собой по договору, EULA к этому отношения вообще не имеет. Просто большинство анонимов опеннета ещё учатся в школе и не знают об этом.
> А я почему-то уверен, что в EULA прописан отказ от ответственности.Как в воду глядел:
> Disclaimer of Warranty. Except as expressly provided in this Section 8, Cisco hereby disclaims
> and Customer waives all representations, warranties, conditions or other terms (whether
> express, implied, or statutory), including, without limitation, any warranty, condition, or term (i) of
> merchantability, fitness for a particular purpose, reasonable care and skill, noninfringement,
> satisfactory quality, accuracy, or system integration, or (ii) arising from any course of dealing,
> course of performance, or usage in the industry. To the extent permitted by law, if a warranty,
> condition, or term cannot be disclaimed, such warranty, condition, or term shall be limited in
> duration to the applicable express warranty period.
> И скорее всего разработчик брал на себя какие-то обязательства.
> Возможно и финансовые.(слышен хоровой, заливистый, заразительный детский смех)
считать они, конечно, умеют. деньги в своём кармане. а пользователь не мамонт, и не вымрет, так что его потери никого не интересуют.
> Ну очевидно, что на момент внедрения эти коммерческие библиотеки имели какое-то конкурентное
> преимущество. Потому их и внедряли.перечитай еще раз: netscaler, f5, ace.
Это железки, способные принимать сотни тысяч и миллионы ssl-сессий (за счет реализации части библиотеки в asic, чаще всего), успехов лепить такое на коленке.И пострадали, скорее всего, как раз за неуместную любовь к опенотсосию - то есть за использование как раз openssl (которую там очень неудобно обновлять, поэтому она будет гарантированно древних версий) вместо собственной разработки с нуля (да, почти невозможной в наши дни - потому что кроме прочего надо обеспечивать совместимость со всеми багами и глюками openssl'я, включая вчера привнесенные)
>[оверквотинг удален]
>> преимущество. Потому их и внедряли.
> перечитай еще раз: netscaler, f5, ace.
> Это железки, способные принимать сотни тысяч и миллионы ssl-сессий (за счет реализации
> части библиотеки в asic, чаще всего), успехов лепить такое на коленке.
> И пострадали, скорее всего, как раз за неуместную любовь к опенотсосию -
> то есть за использование как раз openssl (которую там очень неудобно
> обновлять, поэтому она будет гарантированно древних версий) вместо собственной разработки
> с нуля (да, почти невозможной в наши дни - потому что
> кроме прочего надо обеспечивать совместимость со всеми багами и глюками openssl'я,
> включая вчера привнесенные)Один из немногих адекватных комментариев.
Для остальных: и да, мы общаемся не на языке EULA. А на языке SLA. и там прописано все жестко.
> Для остальных: и да, мы общаемся не на языке EULA. А на
> языке SLA. и там прописано все жестко.ну, consequent damages там обычно не прописаны - то есть если тебе обещали время реакции два часа и время устранения инцидента двое суток - то вот через два дня после заявки "что-то у меня тут ssl дырявый" приползет новая прошивка, а не приползет - кто-то заплатит изрядных денег. Если поломали раньше/в процессе - никто вроде как не виноват. Собственно, как будто опенсорсные или самодельные поделки от этого защитят...
/уползает пересобирать libc для неподдерживаемого сто лет дистрибутива. К сожалению, слишком современный, чтобы не быть затронутым известной проблемой.
> Из открытых проектов уязвимость присутствует ErlangНе присутствует, а зыакрыта 23 ноября.
Т.е. присутствует во всех версиях, выпущенных до 23 ноября
Мы не упоминаем версии, выпущенные до 23 ноября.
> Т.е. присутствует во всех версиях, выпущенных до 23 ноябряОоо, если бы Вы знали, как замечательно Эрланг умеет менять обувь прямо в полёте...
Стоит отметить, что уязвимость подтверждена только для EOS и EOL (ещё с 2013 года) продуктов Cisco ACE 4710 и Cisco ACE 30, для которых в числе прочего не будет выпускаться обновление, закрывающие данную уязвимость, кроме возможно, случаев наличия персонализированных контрактов на поддержку.Не берусь утверждать на 100%, что везде, но Cisco много где использует GPL программные продукты, включая OpenSSL.
> Стоит отметить, что уязвимость подтверждена только для EOS и EOL (ещё с 2013 года) продуктов
> Cisco ACE 4710 и Cisco ACE 30и дайте угадаю - к каждой из этих древних хреновин прилагалась бумажко с gpl license - и именно из-за использования openssl.
ибо нехрен.
Таковыми не обладал, но более чем уверен, что среди литературы, что прилагается к устройство есть указание на то, что оно содержит те или иные компоненты под GPL.Бегло посмотрел Security Advisories и да, я был прав, Cisco ACE использует OpenSSL и учитывая, что она давно EOS и EOL, то не о какой новой версии OpenSSL речь конечно не идёт. Хотя у Cisco вполне возможно и есть собственная реализация TLS конечно, в каких-то других продуктах.
> к устройство есть указание на то, что оно содержит те или
> иные компоненты под GPL.хуже, именно openssl и есть эта (и единственная) компонента (и еще xml/xslt они очень раньше любили тащить куда надо и куда не надо).
> о какой новой версии OpenSSL речь конечно не идёт. Хотя у
> Cisco вполне возможно и есть собственная реализация TLS конечно, в каких-то
> других продуктах.наоборот, если где и была, ее давно радостно выкинули на помойку.
Индусы по другому не умеют. А кроме них, увы, никого.Я тут посмотрел (не спрашивайте меня, зачем и как угораздило - каждый может с бодуна упасть разинутым хлебальником прямо в яму с навозом) вот это:
https://www.youtube.com/watch?v=eP5lQBZOTgE- дальше момента, когда (второй) чувак представляется, можете не смотреть. Это все, что вам надо знать о циске и ее разработчиках. (ну и об nginx+ тоже, но там кто бы сомневался)
И openssl не под gpl, и не единственный это опенсоурсный компонент, и вообще ты напыщенный дурак, нахватавшийся верхушек.
> GPL программные продукты, включая OpenSSLСразу видно эксперта.
Я не утверждал, что OpenSSL под GPL, хотя согласен, что выглядит предложение двояко.С другой стороны, даже если представить, что я ошибся в лицензии на OpenSSL, вряд ли это коренным образом меняет суть сказанного в контексте того, что Cisco активно использует OpenSource продукты для создания своих без сомнения проприетарных продуктов.
> GPL программные продукты, включая OpenSSL.Насколько я помню, у openssl не GPL. Сам внедрял его в проприетарный продукт
> Насколько я помню, у openssl не GPL.А софту под GPL нужно ещё и дополнительное разрешение к лицензии добавлять, чтобы пользователи этого софта могли его линковать с OpenSSL. Есть (были?) там какие-то проблемы совместимости.
Да, вы правы у них какая-то своя лицензия.
в мусорке, куда я перекладывал их бумажные копии из каждой очередной коробки с циской - смотрятся совершенно одинаково.
То самое чувство, когда Facebook не зря сделал onion зеркало своего сайта.
Питоновский скрипт че то не работает.
Cannot connect to server: [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] sslv3 alert handshake failure (_ssl.c:777)
С сайта зеленая табличка:))This host does not support RSA encryption ciphers.
This is ideal!
> Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые.просвети об этом парней из Рэдмонда, а то они по ходу не в курсе