Taggat med: tls

Faktorisera 512 bitar RSA SSL/TLS

Nyligen så uppdagades en ny attack mot SSL/TLS vid namn SMACK. Denna attack nyttjar det faktum att många webbsajter i dagsläget erbjuder gamla krypteringsalgoritmer där bl.a. RSA 512 bitar finns med samt en sårbarhet i klienter.

Att faktorisera 512 bitar RSA går relativt snabbt med hjälp av ett kluster hos exempelvis Amazon EC2. Och med hjälp av 75 st servrar hos Amazon tar det cirka 7h och kostar runt 800 SEK. Och verktyget som användes för detta är bl.a. cado-nfs (eller så kan även ggnfs + msieve användas).

Men hur utbrett är problemet eg. med dessa korta nyckellängder på serversidan? Jo, av 14 miljoner sajter som stödjer SSL/TLS så har 36.7% detta problem. Och problemet i detalj består i att om en klient såsom OpenSSL eller Apples SecureTransport får tillbaka ett svar som inkluderar export-grade RSA så kommer dessa klienter att acceptera svaret, även om de ej frågat efter export-grade RSA.

Förfarandet steg för steg:

  1. När klienten skickar sitt Hello-meddelande så frågar den efter standard RSA
  2. Angripare som sitter i mitten (MITM) ändrar detta svar till export RSA
  3. Servern svarar med sin 512-bitars export RSA-nyckel, signerad med sin nyckel för långa livslängder (long term key).
  4. Klienten sväljer detta svar på grund av OpenSSL/SecureTransport-buggen.
  5. Angriparen faktoriserar RSA för att hitta den privata nyckeln
  6. När klienter krypterar ‘pre-master secret’ till servern så kan nu angriparen dekryptera TLS huvudhemlighet (master secret)
  7. Nu kan angriparen se klartext och injicera nytt innehåll

Demonstration av hur attacken kan nyttjas mot NSA (eller rättare skrivet, Akamai):

nsa-fake copy

PGP är dött

PGPPGP (och numera GPG) är ett av det bästa som hänt modern krypterad kommunikation, men tyvärr är GPG svårt att använda och det är lätt att det blir fel. Det behövs ett omtag när det gäller GPG och vi väntar bara på att bägaren ska rinna över innan det händer.

För sanningen är, att GPG är tillräckligt bra. Visst behövs det göras en hel del när det gäller UX, metadata och forward secrecy men så länge det bara fungerar så behövs det inte åtgärdas.

Men hur kan den stora massan börja att använda krypterad E-post? Även om TLS på E-post (STARTTLS) blir mer utbrett så är detta ej ett komplett skydd.

Är det så att det eventuellt behövs en stor kampanj på Kickstarter för att någon nytt system ska bli det nästa GPG? För fortsättningsvis kommer vi att använda GPG och vi kommer att göra fel och nycklar kommer att bli röjda för vem kommer ihåg när Aftonbladet publicerade sin privata nyckel?

Buggar blir fixade och GnuPG har fått en större budget nuförtiden, så det går sakta men säkert åt rätt håll med intiativ såsom Google End-to-end.

”Key distribution is the hardest problem in end-to-end encryption”

Google

Läs även kloka ord av Moxie samt Whiteout

Let's encrypt

Gratis SSL/TLS med Let’s Encrypt

Let’s Encrypt är ett nytt initiativ av Internet Security Research Group som backas upp av en mängd stora företag där målet är att tillhandahålla TLS helt gratis.

Företagen som sponsrar satsningen är följande:

Gratis TLS

Även är ett av målen att det ska vara lätt att komma igång. Därför behöver du enbart skriva följande kommando för att komma igång:

$ sudo apt-get install lets-encrypt
$ lets-encrypt example.com

Underliggande säkra protokoll som används är nyutvecklat och går under namnet ACME (Automated Certificate Management Environment) och används för att underlätta verifiering av domännamn. Detta har varit krångligt tidigare då E-post och dylikt har används för SSL/TLS-certifikat.

Specifikationen är tillgänglig via Github här: https://github.com/letsencrypt/acme-spec/blob/master/draft-barnes-acme.md

Projektet kommer att starta/fungera från sommaren 2015.

Kryptotrender 2015

Vi spår Kryptotrender 2015

Vad händer inom krypteringsvärlden? Vad är nytt och vad är på gång? Generellt kan man säga att anonymitet och personlig integritet är otroligt populärt och då söker sig många per automatik till olika mjukvaror som är starkt beroende av kryptering på ett eller annat sätt. Faktum är att det finns väldigt få mjukvaror som inte innehåller någon slags kryptografi.

Kryptotrender 2015

Nedan finner du sådant som jag ser i spåkulan som kommer att inträffa under nästkommande år:

  • Fler publika granskningar liknande Open Crypto Audit Project
  • Minst en sårbarhet kommer att uppdagas i en TLS-implementation
  • Utbredningen av Off-the-Record (OTR) meddelandeappar kommer att fortgå
  • Google kommer att ansluta till Tor
  • Fler butiker och handlare kommer att ta emot kryptovalutan Bitcoin (taxibolaget Uber?, Klarna)
  • Skadlig kod blir bättre på att använda kryptering, tyvärr. I form av obfuskering som Gauss-payload och ransomware där dina filer krypteras och hålls som gisslan
  • Fler företag väljer att göra kryptering som standard såsom Apple och dess hårddiskkryptering. Seamless (sömlös?) är ett bra ord

Vad tror du? Kommer Bitcoin att floppa, Tor att upphöra? Lämna gärna en kommentar om just dina spådomar inför framtiden.

Följ Kryptera.se i sociala medier på Facebook eller Twitter.

Allvarlig sårbarhet i Microsoft Schannel

microsoftIgår släppte Microsoft sina månatliga patchar för November och en av de mer allvarligare sårbarheterna som åtgärdas medger kodexekvering över nätverket (MS14-066).

Sårbarheten som åtgärdas återfinnes i Microsoft Secure Channel (Schannel) och är den del som hanterar SSL/TLS. Denna sårbarhet gäller enbart Windows Server men Microsoft patch även inkluderar Windows 7 och 8.

Tyvärr så framgår inga temporära åtgärder som kan genomföras för att förmildra en eventuell attack (workarounds).

Även så har Microsoft uppdaterat sina cipher suites och stödjer nu Galois/counter mode (GCM) samt perfect forward secrecy med hjälp av DHE + RSA.

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Läs mer här:  technet.microsoft.com/library/security/ms14-066

GnuPG

GnuPG 2.1

Efter fyra år av beta-testande så har nu äntligen den stabila utgåvan av PGP-programvaran GnuPG 2.1 släppts.

Denna nya version stödjer bl.a. elliptiska kurvor (ECC). ECC kan då exempelvis användas för sub-nycklar eller signering. Framöver kommer standard att bli Bernsteins Curve 25519 men stöd för andra ECC-typer finnes (se nedan).

Även så har stödet för PGP-2 helt skrotats då detta är förlegat (använder bl.a. MD5).

Vill du skapa nycklar med elliptiska kurvor gör du enligt följande:

$ gpg2 --expert --full-gen-key
gpg (GnuPG) 2.1.0; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
   (9) ECC and ECC
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
Your selection? 9
Please select which elliptic curve you want:
   (2) NIST P-256
   (3) NIST P-384
   (4) NIST P-521
   (5) Brainpool P-256
   (6) Brainpool P-384
   (7) Brainpool P-512
[.. resten bortklippt ..]

Övriga nyheter är förbättrat stöd för X509-nyckeltyper, förbättrad hantering av nyckelservrar (dock ej över TLS ännu). En annan trevlig säkerhetshöjande nyhet är gpg-agent som nu hanterar din privata nyckel och således behöver ej gpg eller gpgsm känna till denna, dock finns viss bakåtkompatibilitet kvar.

Och som vanligt kan du läsa mer om GnuPG 2.1 ”modern” på gnupg.org.

Övrig intressant kuriosa: Vill du ej skicka hela din PGP-nyckellista i klartext över nätverket med kommandot gpg –refresh-keys så bör du snegla på parcimonie.

Tor utsatt för storskaligt angrepp

Angrepp mot TorTor gick igår ut och varnade för ett angrepp som pågått mellan Januari 2014 och Juli 2014 som går ut på att trafik modifieras på så sätt att det är möjligt att identifiera klienter som ansluter till gömda tjänster (hidden services).

Denna typ av attack är känd sedan tidigare och går under benämningen traffic confirmation attacks. Även så appliceras en Sybil attack som går ut på att påverka Tor-nätverket i större skala och uppnå HSDir (hidden services directory) samt Guard (entry guard). 

För en entry-guard så är den riktiga IP-adressen känd och Tor-huvuden kan ändras på så sätt att dom senare går att identifiera och para ihop med en specifik circuit.

Det är i dagsläget oklart om det är forskare från Carnegie-Mellon Universitet som genomfört denna attack (skulle ha presenterats på Blackhat Las Vegas). Forskningen har även äventyrat säkerheten på Tor-nätverket eftersom namnet på den gömda tjänsten  skickades via TLS och kunde på så sätt läsas av Tor-relän.

Även är det oklart hur den information som har insamlats har använts. Totalt så har 115 stycken relän skapats av angriparen vilket motsvarar 6.4% av kapaciteten för Guards.

Tor har infört ett antal olika åtgärder i form av buggfixar i mjukvara men även så måste administrativa åtgärder införas såsom en större spridning på vilka relän som tillåts.

Uppdatering: Även så har en 0-dagarssårbarhet identifierats i I2P-delar av operativsystemet Tails som påverkar anonymiteten.

Sex nya sårbarheter i OpenSSL

opensslAtt desto fler ögon som tittar på kod leder till säkrare mjukvara råder det ingen tvivel om. Allt sedan Heartbleed-sårbarheter uppdagades i OpenSSL har flertalet personer granskat koden och identifierat brister.

Nu släpper OpenSSL nya versioner som åtgärdar minst sex av dessa identifierade bristerna. Den allvarligaste medger att en angripare kan modifiera innehållet i en krypterad anslutning mellan klient och server.

Dock så måste både server och klient inneha en sårbar version för att attacken ska gå att genomföras. Samtliga OpenSSL-versioner på klientsidan är sårbara men enbart version 1.0.1 samt 1.0.2-beta1 på serversidan.

  • ChangeCipherSpec: SSL/TLS MITM vulnerability (CVE-2014-0224)

Övriga brister som åtgärdats är följande:

  • DTLS recursion flaw (CVE-2014-0221)
  • DTLS invalid fragment vulnerability (CVE-2014-0195)
  • SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
  • SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
  • Anonymous ECDH denial of service (CVE-2014-3470)

Här kan du läsa mer om sårbarheterna:

Samt:

Krypterad E-post med STARTTLS ökar

Enligt färsk statistik från Google och Facebook visar på att STARTTLS blir mer och mer populärt. Statistiken från Google visar att 69% av alla utgående mail blir krypterade samt Facebook meddelar att 76% av alla utgående mail krypteras varav 58% av alla utgående notifieringar blir krypterade.

STARTTLS används för kryptering av E-post mellan servrar och finns definerat i rfc3207. Några av andra protokoll som stödjer STARTTLS är bl.a. POP3, IMAP och NNTP. Som det låter på namnet så är det alltså TLS som läggs ovanpå ett klartextprotokoll.

 

Google STARTTLS Statistik

Även så uppger Facebook följande:

Additionally, certificate validation passes for about half of the encrypted email, and the other half is opportunistically encrypted. 74% of hosts that support STARTTLS also provide Perfect Forward Secrecy

Samt att den vanligaste algoritmen som används är DHE-RSA-AES128-SHA och på andra plats kommer AES128-SHA.

Facebook STARTTLS

Källa: FB, Google

Inspelning av nätverkstrafik (trafikinspelning)

TrafikinspelningVi har tidigare belyst vikten av att spela in rå nätverkstrafik för att möjliggöra och underlätta eventuella undersökningar av dataintrång eller försök till detta. Detta har speciellt varit på tapeten efter offentliggörandet av sårbarheten vid namn Heartbleed.

Om trafikinspelning används så skulle det vara möjligt att till viss del se om ett TLS heartbeat-paket skickats.

Det kan även vara en fördel att kryptera de råa filerna så att en enskild individ ej kan nyttja nätverkstrafiken (dubbelhandsfattning). Så gör exempelvis Säkerhetskontoret med sin tjänst för trafikinspelning. Denna metod kallas även ibland för FPC (Full Packet Capture).

Teknisk lösning för trafikinspelning

Det finns flera sätt att lösa detta rent tekniskt. Ett sätt är att använda sig av dumpcap som en ringbuffer där man kan ställa in att exempelvis nyttja X antal GB spritt över X antal filer.

Se framförallt till att det finns tillräckligt med utrymme på hårddisken. Med fördel bör även utrustningen för trafikinspelning placeras på ett sådant sätt att maximalt med trafik ses, exempelvis vid en perimeter i nätverket eller vid centrala noder.

För att spela in nätverkstrafik 7 dagar oavsett hur mycket hårddisk som nyttjas skriver man följande kommando:

$ sudo dumpcap -i en0 -b duration:3600 -b files:168 -w packets.cap

En mer rekommenderad variant är att nyttja maximalt med tillgängligt diskutrymme och göra enligt följande om vi har 11 GB ledigt diskutrymme på filsystemet /pcap

$ sudo dumpcap -i en0 -b filsize:1048576 -b files:10 -w /pcap/packets.cap

Se även till att paketdumparna ligger på ett eget filsystem för att förhindra att diskutrymme tas upp av något annat i operativsystemet.

Nätverkstappar

IPACU3_SMFör att erhålla möjligghet att spegla av nätverkstrafik så kan man välja ett antal olika lösningar. Ett populärt sätt är att använda sig av en såkallad nätverkstapp. Det finns många olika nätverkstappar i olika priskategorier.

Det man bör titta efter är en med hög driftsäkerhet såsom dubbla nätverksaggregat samt som fungerar även vid strömbortfall. Även är aggregering en önskvärd funktion för att få RX samt TX via en enda kabel.

Netoptics har ett stort utbud av nätverkstappar men är rätt dyra, vill man ha en lite billigare variant så säljer Direktronik EasyTap som kostar runt 3000 SEK.

Även så går det att nyttja en såkallad span-port mirroring på många av dagens switchar:

Span port mirroring

Vidare läsning

daemonlogger_full_smKolla även in OpenFPC som använder sig av daemonlogger. Daemonlogger är utvecklad av Marty Roesch som även är grundaren till Snort.