The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

01.03.2016 20:39  Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов

В выпущенных сегодня обновлениях библиотеки OpenSSL 1.0.1s и 1.0.2g устранена опасная уязвимость (CVE-2016-0800), позволяющая совершить новый вид атаки на HTTPS - DROWN. Уязвимость не специфична для OpenSSL и затрагивает непосредственно протокол SSLv2, который в 2011 году переведён в разряд устаревших и уже практически не используется. Тем не менее проблема остаётся актуальной, применима к защищённым сеансам TLS и затрагивает приблизительно 33% всех сайтов, доступных по HTTPS, или 25% из миллиона крупнейших сайтов в Сети (например, уязвим даже yahoo.com).

Атака позволяет вклиниться в шифрованный канал связи, если предварительно атакующим удалось получить контроль над промежуточным шлюзом или вынудить пользователя подключиться к подконтрольному атакующим серверу доступа (MITM). Завладев промежуточным шлюзом атакующий может притвориться HTTPS-сервером или почтовым сервером к которому обращается пользователь и получить полный контроль над шифрованным трафиком, принимая запросы от клиента и транслируя их к реальному серверу, организовав таким образом скрытое прослушивание и при необходимости внося изменения в трафик. Пользователь при этом не заметит подвоха и будет уверен в успешности установки защищённого соединения.

Суть уязвимости сводится к возможности расшифровки шифротекста RSA без знания закрытого ключа RSA. Проблеме подвержены серверы, в которых присутствует поддержка SSLv2, а также серверы на которых применяются закрытые ключи RSA, используемые совместно с сервером, поддерживающим SSLv2 (например, web-сервер можно атаковать, даже если он не поддерживает SSLv2, но использует один ключ с почтовым сервером, на котором доступен SSLv2). Уязвимость может применяться для организации кросс-протокольной атаки, нацеленной на расшифровку сеансов, в которых используются современные протоколы шифрования (TLSv 1.0 - 1.2), пользуясь тем, что обычно в TLS и в SSLv2 совместно используется один и тот же ключ RSA.

Атака достаточно сложна в реализации и требует стечения определённых факторов. Для восстановления одного сеансового ключа атакующему необходимо выполнить примерно 2^50 вычислительных операций (8 часов вычислений в облаке Amazon EC2, стоимостью $440) и инициировать несколько десятков тысяч соединений с целевым сервером. Подбор существенно упрощается и занимает около минуты в случае использования на сервере устаревших версий OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf, для ускорения атаки на которые можно задействовать ранее исправленную уязвимость CVE-2016-0703.

Для защиты серверов достаточно полностью отключить протокол SSLv2 или все специфичные для SSLv2 наборы шифров (только в версиях OpenSSL новее 1.0.1r и 1.0.2f, в более ранних выпусках отключения шифров недостаточно, так как атакующий всё равно может воспользоваться ими в составе экспортного набора). В представленных сегодня релизах OpenSSL 1.0.2g и 1.0.1s поддержка SSLv2 полностью отключена на этапе сборки, а уязвимые наборы шифров удалены из поставки. LibreSSL, GnuTLS и NSS атаке не подвержены, так как собираются без поддержки SSLv2. Проверить свой сервер на наличие уязвимости можно на сайте test.drownattack.com.

В новых выпусках OpenSSL также устранено несколько заслуживающих внимания узявимостей:

  • Уязвимость (CVE-2016-0799) в реализации функций BIO_*printf, которая отнесена разработчиками OpenSSL к категории неопасных, но выявившие проблему исследователи не столь оптимистичны и не исключают теоретическую возможность инициирования выполнения кода атакующего при обработке в BIO_printf очень большого блока данных, полученного из не заслуживающего доверия источника (например, при выводе через BIO_printf данных, введённых пользователем). Функции BIO_*printf достаточно популярны и, например, используются в PHP и Apache httpd.
  • Подверженность новой атаке по сторонним каналам (side-channel) CacheBleed (CVE-2016-0702), позволяющей восстановить содержимое 2048- или 4096-разрядного RSA-ключа, используя особенности обработки конфликтов в банках кэша процессоров на базе микроархитектуры Intel Sandy-Bridge. Для успешного восстановления ключа атакующий должен иметь локальный доступ к системе и добиться выполнения своего кода тем же ядром процессора (hyper-threaded), которое в текущий момент выполняет операцию дешифровки.

    В процессе атаки моделируется содержимое кэша на основе измерения отклонения времени доступа к данным (при совпадении данные отдаются быстрее). Метод CacheBleed позволяет получить около 60% содержимого ключа 4096 RSA. На восстановление оставшихся данных требуется около двух часов процессорного времени (3 минуты вычислений на современном высокопроизводительном сервере). Уязвимость также присутствует в LibreSSL и в NSS.



  1. Главная ссылка к новости (https://mta.openssl.org/piperm...)
  2. OpenNews: Новая атака на SSL/TLS, позволяющая организовать перехват HTTPS-трафика
  3. OpenNews: Уязвимость в SSLv3 может использоваться и для атаки на некоторые сайты с TLS
  4. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  5. OpenNews: Новая атака на TLS, позволяющая откатиться к уязвимым методам шифрования
  6. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: openssl, tls, ssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Toto, 21:07, 01/03/2016 [ответить] [смотреть все]
  • –37 +/
    https зло. рекламщики трут ручки в предвкушении, когда оно будет повсеместно
     
     
  • 2.8, rshadow, 23:26, 01/03/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    > https зло

    Почему это?

     
     
  • 3.10, Аноним, 00:17, 02/03/2016 [^] [ответить] [смотреть все]
  • +14 +/
    Потому что Тото прочитал только заголовок статьи...
     
  • 2.16, Аноним, 02:31, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +5 +/
    А что добро Открытое соединение где даже уязвимостей ну нужно чтобы слушать Ил... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, kaktak, 15:25, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    а зачем тебе повсеместно в вэб закрытое соединение на форумах секретную инфор... весь текст скрыт [показать]
     
  • 3.46, Аноним, 21:36, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    И не говорите Так многие лохи и на улицу до сих пор в XXI веке без черных очк... весь текст скрыт [показать]
     
  • 2.23, Тот_Самый_Анонимус, 09:22, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Тоже так считал, ибо во многих случаях - напрасная трата электричества Однако н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, odd.mean, 10:32, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Если уж тратить электричество, то уж лучше с пользой Всё лучше, чем плэйном log... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 13:29, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну, была же удаленная уязвимость, позволявшая незнакомцу почитать, что ты там за... весь текст скрыт [показать]
     
  • 4.40, Нимано, 16:30, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Внезапно пароли вообще передавать не обязательно Но вместо вменяемой поддержки... весь текст скрыт [показать]
     
     
  • 5.49, Аноним, 10:56, 04/03/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    А что тогда передавать Отпечатки пальцев или скан сетчатки глаз ... весь текст скрыт [показать]
     
     
  • 6.50, Нимано, 15:05, 04/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Навскидку, примитивно-наивный, самопальный метод send Vasyan sha256 timestamp ... весь текст скрыт [показать]
     
  • 3.31, ., 12:21, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    да ну нафиг - перейдут все на защищенное соединение - будет вставлять и в защище... весь текст скрыт [показать]
     
     
  • 4.35, Аноним, 14:06, 02/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Поэтому нужен сетевой нейтралитет.
     
  • 3.36, kaktak, 14:11, 02/03/2016 [^] [ответить] [смотреть все]  
  • –4 +/
    Только не забывай, что сегодня в http с рекламой можно бороться с помощью adbloc... весь текст скрыт [показать]
     
     
  • 4.38, Аноним, 15:45, 02/03/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    а какая разница адлобку пофиг какую рекламу резать, терминирование-то на клиент... весь текст скрыт [показать]
     
     
  • 5.39, anonymous, 16:05, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    адблок еще для openwrt бывает
     
  • 5.42, данунах, 19:24, 02/03/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    ну расскажите всем как софт для домохозяек режет рекламу в https-сессии, в таком... весь текст скрыт [показать]
     
     
  • 6.51, Аноним, 04:11, 05/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Поставь на всех концах uBlock. Обязательно на роутере рекламу резать?
     
  • 1.2, Аноним, 21:28, 01/03/2016 [ответить] [смотреть все]  
  • +2 +/
    TLS 1 3 на подходе, обратной совместимости и даунгрейда не будет The best way t... весь текст скрыт [показать]
     
     
  • 2.30, Гость, 12:16, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >It eliminates the possibility of compression.

    И зачем надо было это убирать.

     
     
  • 3.33, анонимус, 13:17, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    для устранения очевидной side-channel атаки ... весь текст скрыт [показать]
     
  • 3.52, Аноним, 04:13, 05/03/2016 [^] [ответить] [смотреть все]  
  • +/
    А зачем оно надо? Сжимать данные надо до этапа шифрования.
     
  • 1.3, Аноним, 21:32, 01/03/2016 [ответить] [смотреть все]  
  • +3 +/
    LibreSSL не подвержен SSLv2 выкинули чуть ли не первым делом после форка Из 8-... весь текст скрыт [показать]
     
     
  • 2.20, mebiuslu6, 08:37, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Хм, это значит что с ним эти сайты вообще не откроются?
     
     
  • 3.27, nmorozov, 10:38, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    Не откроются скорее всего, если там нет параллельно поддержки более новых chiper... весь текст скрыт [показать]
     
     
  • 4.41, Wladmis, 17:39, 02/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    В LibreSSL захакали новую реализацию ГОСТа http undeadly org cgi action artic... весь текст скрыт [показать]
     
  • 1.4, grsec, 22:17, 01/03/2016 [ответить] [смотреть все]  
  • +/
    ЕМНИП недавно в Германии кто-то проводил аудит openssl и делал вывод, что проблем нет.
     
     
  • 2.7, Аноним, 22:56, 01/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    В библиотеке нет, а в протоколе есть ... весь текст скрыт [показать] [показать ветку]
     
  • 2.13, Аноним, 00:49, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Наивный мальчик, доверяет заявлениям спецслужб. Заявлениям спецслужб, Карл!
     
  • 2.32, ., 12:28, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    вы бредите К тому же никакой аудит не позволяет делать таких выводов, если это ... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 00:13, 02/03/2016 [ответить] [смотреть все]  
  • –2 +/
    Q3 Which processor versions are vulnerable We performed our tests on an Intel ... весь текст скрыт [показать]
     
  • 1.11, s0t, 00:41, 02/03/2016 [ответить] [смотреть все]  
  • +1 +/
    о, как оно протухло
     
  • 1.12, s0t, 00:44, 02/03/2016 [ответить] [смотреть все]  
  • +/
    а этот сервак из-за кривизны рук сисадминов до сих пор не перешел на норламьные серты
     
     
  • 2.14, Аноним, 01:47, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Так ты не стесняйся, каждый раз когда что-то не нравится высылай деньги админам,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, s0t, 19:34, 02/03/2016 [^] [ответить] [смотреть все]  
  • +/
    чем бесплатные не устраивают? даже на халяву и то лень нормально настроить
     
     
  • 4.48, Andrey Mitrofanov, 10:02, 03/03/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Бесплатные вдмины-то - ... весь текст скрыт [показать]
     
  • 2.18, Аноним, 07:41, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    палемон ему не доверяет, а хромогиум 8212 вполне, так что хз, что там протухл... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, Аноним, 03:40, 02/03/2016 [ответить] [смотреть все]  
  • +2 +/
    >Для защиты серверов достаточно полностью отключить

    их от интернета

     
  • 1.19, Аноним, 07:43, 02/03/2016 [ответить] [смотреть все]  
  • +/
    Спасибо, не удивлён Эта компостная яма воняет на весь топ100 ... весь текст скрыт [показать]
     
  • 1.24, Сергей, 09:34, 02/03/2016 [ответить] [смотреть все]  
  • –1 +/
    Я бы обратил внимание на <<Атака позволяет вклиниться в шифрованный канал связи, если предварительно атакующим удалось получить контроль над промежуточным шлюзом или вынудить пользователя подключиться к подконтрольному атакующим серверу доступа>>, т.е. атака не напрямую на пользователя, а через шлюз...
     
  • 1.25, odd.mean, 10:29, 02/03/2016 [ответить] [смотреть все]  
  • +/
    > инициировать несколько десятков тысяч соединений

    Душеспасителен fail2ban, всегда подозревал.

     
  • 1.44, Аноним, 20:58, 02/03/2016 [ответить] [смотреть все]  
  • –1 +/
    А вот и результат Собираю git-2 7 2 в Gentoo usr lib gcc x86_64-pc-linux-gnu ... весь текст скрыт [показать]
     
     
  • 2.45, Аноним, 21:05, 02/03/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Полечилось пересборкой curl, вдруг кому пригодится.
     
  • 1.47, Andrey Mitrofanov, 09:47, 03/03/2016 [ответить] [смотреть все]  
  • +/
    Отлично, самый большой "дрруг" по-прежнему забоитится о нас. Эмблему, имя собственное, отдельный сайт, и  отдельную новость на опенет!,  на каждый чих ^W патч.

    "И вот теперь, начиная с 2013-го года, у нас простые ошибки в СПО (неисправность в строке или двух) попадают в центр внимания и получают имена собственные, эмблемы и пр., при этом критические "zero-day" дефекты от самого Майкрософт-а едва ли попадают в заголовки."

    https://www.opennet.ru/openforum/vsluhforumID3/105391.html#15

    ***Хорошо, что у нас тут не RSDN-какой, а то б каждый вторник по 150 эмблем-кликух-сайтов и отдельных новостей! Во ихние админы мучаются-то?!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor