The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов

01.03.2016 20:39

В выпущенных сегодня обновлениях библиотеки OpenSSL 1.0.1s и 1.0.2g устранена опасная уязвимость (CVE-2016-0800), позволяющая совершить новый вид атаки на HTTPS - DROWN. Уязвимость не специфична для OpenSSL и затрагивает непосредственно протокол SSLv2, который в 2011 году переведён в разряд устаревших и уже практически не используется. Тем не менее проблема остаётся актуальной, применима к защищённым сеансам TLS и затрагивает приблизительно 33% всех сайтов, доступных по HTTPS, или 25% из миллиона крупнейших сайтов в Сети (например, уязвим даже yahoo.com).

Атака позволяет вклиниться в шифрованный канал связи, если предварительно атакующим удалось получить контроль над промежуточным шлюзом или вынудить пользователя подключиться к подконтрольному атакующим серверу доступа (MITM). Завладев промежуточным шлюзом атакующий может притвориться HTTPS-сервером или почтовым сервером к которому обращается пользователь и получить полный контроль над шифрованным трафиком, принимая запросы от клиента и транслируя их к реальному серверу, организовав таким образом скрытое прослушивание и при необходимости внося изменения в трафик. Пользователь при этом не заметит подвоха и будет уверен в успешности установки защищённого соединения.

Суть уязвимости сводится к возможности расшифровки шифротекста RSA без знания закрытого ключа RSA. Проблеме подвержены серверы, в которых присутствует поддержка SSLv2, а также серверы на которых применяются закрытые ключи RSA, используемые совместно с сервером, поддерживающим SSLv2 (например, web-сервер можно атаковать, даже если он не поддерживает SSLv2, но использует один ключ с почтовым сервером, на котором доступен SSLv2). Уязвимость может применяться для организации кросс-протокольной атаки, нацеленной на расшифровку сеансов, в которых используются современные протоколы шифрования (TLSv 1.0 - 1.2), пользуясь тем, что обычно в TLS и в SSLv2 совместно используется один и тот же ключ RSA.

Атака достаточно сложна в реализации и требует стечения определённых факторов. Для восстановления одного сеансового ключа атакующему необходимо выполнить примерно 2^50 вычислительных операций (8 часов вычислений в облаке Amazon EC2, стоимостью $440) и инициировать несколько десятков тысяч соединений с целевым сервером. Подбор существенно упрощается и занимает около минуты в случае использования на сервере устаревших версий OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf, для ускорения атаки на которые можно задействовать ранее исправленную уязвимость CVE-2016-0703.

Для защиты серверов достаточно полностью отключить протокол SSLv2 или все специфичные для SSLv2 наборы шифров (только в версиях OpenSSL новее 1.0.1r и 1.0.2f, в более ранних выпусках отключения шифров недостаточно, так как атакующий всё равно может воспользоваться ими в составе экспортного набора). В представленных сегодня релизах OpenSSL 1.0.2g и 1.0.1s поддержка SSLv2 полностью отключена на этапе сборки, а уязвимые наборы шифров удалены из поставки. LibreSSL, GnuTLS и NSS атаке не подвержены, так как собираются без поддержки SSLv2. Проверить свой сервер на наличие уязвимости можно на сайте test.drownattack.com.

В новых выпусках OpenSSL также устранено несколько заслуживающих внимания узявимостей:

  • Уязвимость (CVE-2016-0799) в реализации функций BIO_*printf, которая отнесена разработчиками OpenSSL к категории неопасных, но выявившие проблему исследователи не столь оптимистичны и не исключают теоретическую возможность инициирования выполнения кода атакующего при обработке в BIO_printf очень большого блока данных, полученного из не заслуживающего доверия источника (например, при выводе через BIO_printf данных, введённых пользователем). Функции BIO_*printf достаточно популярны и, например, используются в PHP и Apache httpd.
  • Подверженность новой атаке по сторонним каналам (side-channel) CacheBleed (CVE-2016-0702), позволяющей восстановить содержимое 2048- или 4096-разрядного RSA-ключа, используя особенности обработки конфликтов в банках кэша процессоров на базе микроархитектуры Intel Sandy-Bridge. Для успешного восстановления ключа атакующий должен иметь локальный доступ к системе и добиться выполнения своего кода тем же ядром процессора (hyper-threaded), которое в текущий момент выполняет операцию дешифровки.

    В процессе атаки моделируется содержимое кэша на основе измерения отклонения времени доступа к данным (при совпадении данные отдаются быстрее). Метод CacheBleed позволяет получить около 60% содержимого ключа 4096 RSA. На восстановление оставшихся данных требуется около двух часов процессорного времени (3 минуты вычислений на современном высокопроизводительном сервере). Уязвимость также присутствует в LibreSSL и в NSS.



  1. Главная ссылка к новости (https://mta.openssl.org/piperm...)
  2. OpenNews: Новая атака на SSL/TLS, позволяющая организовать перехват HTTPS-трафика
  3. OpenNews: Уязвимость в SSLv3 может использоваться и для атаки на некоторые сайты с TLS
  4. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  5. OpenNews: Новая атака на TLS, позволяющая откатиться к уязвимым методам шифрования
  6. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/43971-openssl
Ключевые слова: openssl, tls, ssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Toto (?), 21:07, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –37 +/
    https зло. рекламщики трут ручки в предвкушении, когда оно будет повсеместно
     
     
  • 2.8, rshadow (ok), 23:26, 01/03/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > https зло

    Почему это?

     
     
  • 3.10, Аноним (-), 00:17, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Потому что Тото прочитал только заголовок статьи...
     
  • 2.16, Аноним (-), 02:31, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А что добро? Открытое соединение где даже уязвимостей ну нужно чтобы слушать? Или ты свой протокол изобрёл?
     
     
  • 3.37, kaktak (??), 15:25, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем тебе повсеместно в вэб "закрытое" соединение? на форумах секретную информацию прослушают? банкинг допустим вообще тунеллировать давно пора, единственное где секурность нужна, а повсеместное применение https только открывает дорогу рекламе
     
  • 3.46, Аноним (-), 21:36, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А что добро? Открытое соединение где даже уязвимостей ну нужно чтобы слушать?
    > Или ты свой протокол изобрёл?

    И не говорите!!!
    Так многие лохи и на улицу до сих пор в XXI веке без черных очков выходят, что их и без специальных приборов узнать можно.


     
  • 2.23, Тот_Самый_Анонимус (?), 09:22, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >https зло

    Тоже так считал, ибо во многих случаях - напрасная трата электричества. Однако новость со вставкой билайном рекламных блоков в незащищённые страницы делает https оправданным.

     
     
  • 3.26, odd.mean (ok), 10:32, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если уж тратить электричество, то уж лучше с пользой. Всё лучше, чем плэйном login:password передавать.
     
     
  • 4.34, Аноним (-), 13:29, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, была же удаленная уязвимость, позволявшая незнакомцу почитать, что ты там за login:password передавал.
    Так что, не всё так однозначно.
     
  • 4.40, Нимано (?), 16:30, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Если уж тратить электричество, то уж лучше с пользой. Всё лучше, чем
    > плэйном login:password передавать.

    Внезапно: пароли вообще передавать не обязательно.

    Но вместо вменяемой поддержки такого стандарта, кое-кто  (не будем показывать пальцем на наглую рыжую морду и цветной шарик) почему-то предпочел запихнуть в браузеры WebRTC, P2P и остальные свистелки и перделки.

     
     
  • 5.49, Аноним (-), 10:56, 04/03/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Внезапно: пароли вообще передавать не обязательно.

    А что тогда передавать? Отпечатки пальцев или скан сетчатки глаз?

     
     
  • 6.50, Нимано (?), 15:05, 04/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Внезапно: пароли вообще передавать не обязательно.
    > А что тогда передавать? Отпечатки пальцев или скан сетчатки глаз?

    Навскидку, примитивно-наивный, самопальный метод:
    send(Vasyan:sha256(timestamp + sha256(password)) )
    или
    send(Vasyan:PBKDF2(timestamp + PBKDF2(password)) )

    А еще можно этим самым паролем шифровать.
    send(Vasyan:encrypt("это я!" + timestamp, pbkdf2(password)))

    А так – много их, как устаревших, так и не очень и вместо глупой попытки съязвить, мусье мог бы и поинтересоваться и погуглить:
    https://ru.wikipedia.org/wiki/Вызов-ответ_(аутентификация)
    https://ru.wikipedia.org/wiki/SCRAM
    https://ru.wikipedia.org/wiki/SRP
    https://ru.wikipedia.org/wiki/OCRA
    https://ru.wikipedia.org/wiki/CRAM-MD5
    https://ru.wikipedia.org/wiki/CHAP
    https://ru.wikipedia.org/wiki/Протокол_Диффи_—_Хеллмана


     
  • 3.31, . (?), 12:21, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    да ну нафиг - перейдут все на защищенное соединение - будет вставлять и в защищенные.
    Просто заставит вас установить свой сертификат - а не установите, в пункте 16458.273574.c.LXXXVII оферты ясно же написано - мы вам на других условиях https предоставлять не обещали.

     
     
  • 4.35, Аноним (-), 14:06, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поэтому нужен сетевой нейтралитет.
     
  • 3.36, kaktak (??), 14:11, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Только не забывай, что сегодня в http с рекламой можно бороться с помощью adblock, privoxy и тд, а вот когда тебе будут вкорячивать рекламу в https ничего уже не поделаешь
     
     
  • 4.38, Аноним (-), 15:45, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а какая разница? адлобку пофиг какую рекламу резать, терминирование-то на клиенте происходит, далее адблок работает уже с пейлоадом
     
     
  • 5.39, anonymous (??), 16:05, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    адблок еще для openwrt бывает
     
  • 5.42, данунах (?), 19:24, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > адблоку пофиг

    ну расскажите всем как софт для домохозяек режет рекламу в https-сессии, в таком случае. у вас есть возможность взорвать интернет

     
     
  • 6.51, Аноним (-), 04:11, 05/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Поставь на всех концах uBlock. Обязательно на роутере рекламу резать?
     

  • 1.2, Аноним (-), 21:28, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    TLS 1 3 на подходе, обратной совместимости и даунгрейда не будет The best way t... большой текст свёрнут, показать
     
     
  • 2.30, Гость (??), 12:16, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >It eliminates the possibility of compression.

    И зачем надо было это убирать.

     
     
  • 3.33, анонимус (??), 13:17, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>It eliminates the possibility of compression.
    > И зачем надо было это убирать.

    для устранения очевидной side-channel атаки

     
  • 3.52, Аноним (-), 04:13, 05/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем оно надо? Сжимать данные надо до этапа шифрования.
     

  • 1.3, Аноним (-), 21:32, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    LibreSSL не подвержен. SSLv2 выкинули чуть ли не первым делом после форка. Из 8-ми уязвимостей в родительском проекте, OpenSSL, лишь две перекачевали в LibreSSL, которые нерелевантны для самой OpenBSD в виду других средств защиты применяемых в ОС. Насчёт других ОС не вкурсе, но обе уязвимости малозначительны.

    http://undeadly.org/cgi?action=article&sid=20160301141941

     
     
  • 2.20, mebiuslu6 (?), 08:37, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хм, это значит что с ним эти сайты вообще не откроются?
     
     
  • 3.27, nmorozov (ok), 10:38, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не откроются скорее всего, если там нет параллельно поддержки более новых chipersuites.

    PS. В LibreSSL выпилен ГОСТ и FIPS так, что там в принципе не откроюся HTTPS сайты развернутые для гос органов причем как наших так и американских.

     
     
  • 4.41, Wladmis (ok), 17:39, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  В LibreSSL выпилен ГОСТ и FIPS так, что там в принципе не откроюся HTTPS сайты развернутые для гос органов причем как наших так и американских.

    В LibreSSL захакали новую реализацию ГОСТа:

    http://undeadly.org/cgi?action=article&sid=20141209095711&mode=flat

    $ uname -srv && openssl list-cipher-algorithms | grep -i gost
    OpenBSD 5.8 GENERIC.MP#4
    gost89
    gost89
    gost89-cnt
    gost89-ecb

     

  • 1.4, grsec (ok), 22:17, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ЕМНИП недавно в Германии кто-то проводил аудит openssl и делал вывод, что проблем нет.
     
     
  • 2.7, Аноним (-), 22:56, 01/03/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > кто-то проводил аудит openssl и делал вывод, что проблем нет.

    В библиотеке нет, а в протоколе есть.

     
  • 2.13, Аноним (-), 00:49, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Наивный мальчик, доверяет заявлениям спецслужб. Заявлениям спецслужб, Карл!
     
  • 2.32, . (?), 12:28, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ЕМНИП недавно в Германии кто-то проводил аудит openssl и делал вывод, что
    > проблем нет.

    вы бредите. К тому же никакой аудит не позволяет делать таких выводов, если это профессионалы - они скажут "мы не смогли их обнаружить". Вывод "проблем нет" делается на основании доказательства правильности кода - которое практически нереально.
    А тут и аудит просто невозможен разумными усилиями - именно по этой причине пришлось рожать форки. Закрасить проще, чем отмывать.

    Оно и в целом омерзительно написано (поскольку наколенный самодельный проект одного человека начали с дурной упертостью пихать в мэйнстрим), включая и его интерфейсы для программистов, и плюс сам набор протоколов чудовищно уродлив, то есть его при всем желании нельзя написать чисто, понятно и красиво.

     

  • 1.9, Аноним (-), 00:13, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Q3: Which processor versions are vulnerable?

    We performed our tests on an Intel Xeon E5-2430. We believe that all Sandy Bridge processors are vulnerable. Earlier microarchitectures, such as Nehalem and Core 2 may be vulnerable as well.

    Our attack code does not work on Intel Haswell processors, where, apparently, cache-bank conflicts are no longer an issue.

     
  • 1.11, s0t (?), 00:41, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    о, как оно протухло
     
  • 1.12, s0t (?), 00:44, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а этот сервак из-за кривизны рук сисадминов до сих пор не перешел на норламьные серты
     
     
  • 2.14, Аноним (-), 01:47, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так ты не стесняйся, каждый раз когда что-то не нравится высылай деньги админам, на новые серты, на хостинг, на красивый дизайн. Контакты сам в состоянии найти?
     
     
  • 3.43, s0t (?), 19:34, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    чем бесплатные не устраивают? даже на халяву и то лень нормально настроить
     
     
  • 4.48, Andrey Mitrofanov (?), 10:02, 03/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > чем бесплатные не устраивают? даже на халяву и то лень нормально настроить

    Бесплатные вдмины-то?  :-<

     
  • 2.18, Аноним (-), 07:41, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    палемон ему не доверяет, а хромогиум — вполне, так что хз, что там протухло в цепочке из комодов и клаудфларе
     

  • 1.17, Аноним (-), 03:40, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Для защиты серверов достаточно полностью отключить

    их от интернета

     
  • 1.19, Аноним (-), 07:43, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > SSL2 ... yahoo.com

    Спасибо, не удивлён. Эта компостная яма воняет на весь топ100

     
  • 1.24, Сергей (??), 09:34, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я бы обратил внимание на <<Атака позволяет вклиниться в шифрованный канал связи, если предварительно атакующим удалось получить контроль над промежуточным шлюзом или вынудить пользователя подключиться к подконтрольному атакующим серверу доступа>>, т.е. атака не напрямую на пользователя, а через шлюз...
     
  • 1.25, odd.mean (ok), 10:29, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > инициировать несколько десятков тысяч соединений

    Душеспасителен fail2ban, всегда подозревал.

     
  • 1.44, Аноним (-), 20:58, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А вот и результат. Собираю git-2.7.2 в Gentoo:

    /usr/lib/gcc/x86_64-pc-linux-gnu/5.3.0/../../../../lib64/libcurl.so: undefined reference to 'SSLv2_client_method'

    Идти в багзиллу или подождать день-другой...

     
     
  • 2.45, Аноним (-), 21:05, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Полечилось пересборкой curl, вдруг кому пригодится.
     

  • 1.47, Andrey Mitrofanov (?), 09:47, 03/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отлично, самый большой "дрруг" по-прежнему забоитится о нас. Эмблему, имя собственное, отдельный сайт, и  отдельную новость на опенет!,  на каждый чих ^W патч.

    "И вот теперь, начиная с 2013-го года, у нас простые ошибки в СПО (неисправность в строке или двух) попадают в центр внимания и получают имена собственные, эмблемы и пр., при этом критические "zero-day" дефекты от самого Майкрософт-а едва ли попадают в заголовки."

    https://www.opennet.ru/openforum/vsluhforumID3/105391.html#15

    ***Хорошо, что у нас тут не RSDN-какой, а то б каждый вторник по 150 эмблем-кликух-сайтов и отдельных новостей! Во ихние админы мучаются-то?!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру