Das SSL-Dilemma. Security Forum 2015 April 2015 Christopher Dreher cirosec GmbH

Transkript

1 Das SSL-Dilemma Security Forum 2015 April 2015 Christopher Dreher cirosec GmbH

2 2

3 Agenda Verschlüsselung im WWW SSL/TLS, was läuft falsch? Designschwächen Implementierungsfehler Vertrauen in Zertifikatsstellen Das Revocation-Problem Fehlkonfigurationen erkennen und fixen Ausblick 3

4 Verschlüsselung im WWW

5 Von damals bis heute HTTPS wurde von Netscape entwickelt und zusammen mit SSLv1 erstmals 1994 erwähnt Kipp Hickman von Netscape veröffentlichte SSLv2 als IETF Draft in 1995 The SSL Protocol is designed to provide privacy between two communicating applications (a client and a server). Second, the protocol is designed to authenticate the server, and optionally the client. [...] Quelle: Wikipedia 5

6 Von damals bis heute SSLv2 gilt seit Ende 1996 als gebrochen Aktiver Man-in-the-Middle-Angriff erlaubt die komplette Kompromittierung der Vertraulichkeit und Integrität der gesicherten Übertragen ( SSLv3 wird wiederum von drei Wissenschaftlern bei Netscape erarbeitet und 1996 veröffentlicht 1999 wird SSL zu TLS umbenannt, jedoch minimale Änderung der Spezifikation zu SSLv3 (SSLv3.1->TLS 1.0) 6

7 SSL und/oder TLS erfolgt eine Vielzahl wissenschaftlicher Angriffe gegen SSLv3 und TLS 1.0 Padding-Oracle-Angriff gegen Padding der Block Cipher (2002 Vaudenay Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS... ) Timing-Attacke (2003 Brumley u. Boneh Remote timing attacks are practical ) Chosen-Plaintext-Attacke: IV ist vorhersagbar (2006 Bard) TLS 1.1 wird 2006 als Standard veröffentlicht (RFC4346) Entfernung der Export Ciphers (40 Bit) Bereits 2008 wird die finale Version von TLS 1.2 als Ablösung von TLS 1.1 veröffentlicht (RFC5246) 7

8 SSL und TLS im Web 2015 Quelle: Universal-Pictures 8

9 SSL und TLS im Web 2015 Quelle: 9

10 SSL und/oder TLS Server beweist seine Identität durch Zertifikat Browser TLS Webserver TLS Daten werden verschlüsselt übertragen 10

11 Verbindungsaufbau bei TLS Client-Hello Client-Zufallszahl Protokollversion TLS 1.1 Liste von Algorithmen Server-Hello Server-Zufallszahl Protokollversion Algorithmus TLS 1.1 AES 11

12 Verbindungsaufbau bei TLS TLS 1.1 AES TLS 1.1 privat öffentlich Client Key Exchange Pre-Master-Secret 12

13 Verbindungsaufbau bei TLS TLS 1.1 AES Pre-Master-Secret TLS 1.1 Client-Zufallszahl + Server-Zufallszahl Fixer Startwert privat öffentlich Master-Secret Symmetrischer Sitzungsschlüssel 13

14 Designschwächen in SSL / TLS

15 Designschwächen in SSL / TLS Probleme basieren nicht auf den einzelnen Implementierungen von SSL (OpenSSL, LibreSSL, MatrixSSL, PolarSSL, GnuTLS usw.) Lässt sich in der Regel nicht durch die Entwickler beheben, sondern bedarf Anpassung und Änderung des Protokolls (Versionsupdate) Workaround durch Deaktivierung betroffener Cipher Suites 15

16 BEAST (CVE ) Browser Exploit Against SSL/TLS Ausnutzung der Chosen-Plaintext-Attacke gegen den IV von Bard (2006) Angreifer muss einen passiven Man-in-the-Middle-Angriff durchführen (Sniffing) und innerhalb des Opfer-Browsers eine Vielzahl von Anfragen abschicken können PoC-Exploit basierte auf einem Java-Applet, das vom Opfer aufgerufen wurde Java-Applet kam von einer Domain des Angreifers, deswegen zusätzliche Schwachstelle in JVM nötig zur Überwindung der SOP (Juliano Rizzo und Thai Duong) 16

17 BEAST (CVE ) Keine bekannte Ausnutzung in the wild Empfehlung: Update auf TLS 1.1 oder Nutzung von RC4 anstelle von AES Verwundbare SSL/TLS-Versionen TLS TLS TLS 1.0 SSL 3.0 SSL 2.0 JA JA JA 17

18 CRIME (CVE ) Compression Ratio Info-leak Made Easy Ausnutzung der Informationspreisgabe durch den Einsatz der SSL-Kompression Angreifer muss einen passiven Man-in-the-Middle-Angriff durchführen (Sniffing) und innerhalb des Opfer-Browsers eine Vielzahl von Anfragen abschicken können Angreifer kann Klartextdaten erraten durch Abgleich der Länge der komprimierten Daten (z.b. Cookie-Wert) (Juliano Rizzo und Thai Duong) 18

19 CRIME (CVE ) Keine bekannte Ausnutzung in the wild Empfehlung: Deaktivierung der SSL-Kompression auf Client- und Serverseite Verwundbare SSL/TLS-Versionen TLS 1.2 TLS 1.1 TLS 1.0 SSL 3.0 SSL 2.0 JA JA JA JA JA 19

20 BREACH (CVE ) Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext Ausnutzung der Informationspreisgabe durch den Einsatz der HTTP-Kompression Angreifer muss einen passiven Man-in-the-Middle-Angriff durchführen (Sniffing) und innerhalb des Opfer-Browsers eine Vielzahl von Anfragen abschicken können 20

21 BREACH (CVE ) Keine bekannte Ausnutzung in the wild Empfehlung: Deaktivierung der HTTP-Kompression (theoretisch) Schutz gegen automatisierte Anfragen Verwundbare SSL/TLS-Versionen TLS 1.2 TLS 1.1 TLS 1.0 SSL 3.0 SSL 2.0 JA JA JA JA JA 21

22 RC4-Schwäche RC4 ist ein Stream Cipher Algorithmus generiert eine Sequenz von Schlüsseln, die mit den Daten ge-xor-ed werden Schlüsselwerte sind nicht ausreichend zufällig verteilt Praktischer Angriff erfordert sehr hohe Anzahl an Verbindungen Entdeckt: 2013 ( Betroffen: RC4 Ciphers Gegenmaßnahme: Verzicht auf RC4 Schutz gegen automatisierte Anfragen 22

23 POODLE: SSLv3 vulnerability (CVE ) Padding Oracle On Downgraded Legacy Encryption Angreifer muss einen passiven Man-in-the-Middle-Angriff durchführen (Sniffing) und innerhalb des Opfer-Browsers 256 x n (n-byte langes Cookie) Anfragen abschicken können 23

24 POODLE: SSLv3 vulnerability (CVE ) Keine bekannte Ausnutzung in the wild Wahrscheinlicher im Gegensatz zu BEAST, BREACH oder CRIME Empfehlung: Deaktivierung von SSLv3 Verwundbare SSL/TLS-Versionen TLS TLS TLS SSL 3.0 SSL 2.0 JA JA 24

25 POODLE: SSLv3 vulnerability (CVE ) 25 Quelle:

26 SSLv3 Downgrade 26 Quelle:

27 FREAK: < TLS 1.1 vulnerability Factoring RSA Export Keys Angreifer muss einen aktiven Man-in-the-Middle-Angriff durchführen und verlangt vom Server die Verwendung von EXPORT Cipher Suites Faktorisierung von 512bit RSA-Schlüsseln kostet ca. 100$ Amazon EC2-Rechenzeit und dauert weniger als 8 Stunden 27

28 FREAK: < TLS 1.1 vulnerability HTTPS serves of Alexa s Top 1 Million Domains Quelle: Empfehlung: Deaktivierung von TLS 1.0 und kleiner Verwundbare SSL/TLS-Versionen TLS TLS TLS 1.0 SSL 3.0 SSL 2.0 JA JA JA 28

29 Implementierungsfehler in SSL / TLS

30 Implementierungsfehler in SSL / TLS Fehler erzeugt durch einzelne Entwickler / Teams innerhalb einer Bibliothek Fehlerhafte Qualitätssicherung des Codes Typische Softwareschwachstellen Buffer Overflows Control Flow Manipulation 30

31 Heartbleed (CVE ) Heartbeat-Nachrichten dienen der Sicherstellung einer intakten Kommunikationsverbindung über UDP Fehlerhafte Überprüfung der Längenangabe der Heartbeat-Anfrage Heartbeat-Antwort liefert die empfangene Nachricht zurück und mehr (max. 64 kb) Auslesen zufälliger Werte, die zum aktuellen Zeitpunkt in dem dynamischen Prozessspeichers des Webserver-Prozesses liegen Verwundbare OpenSSL-Versionen OpenSSL bis 1.0.1f OpenSSL beta bis beta1 31

32 Heartbleed (CVE ) Quelle: 32

33 Heartbleed (CVE ) Quelle: 33

34 Heartbleed (CVE ) A HeartbeatRequest message can arrive almost at any time during the lifetime of a connection. Whenever a HeartbeatRequest message is received, it SHOULD be answered with a corresponding HeartbeatResponse message. 34

35 OpenSSL CCS Injection Vulnerability (CVE ) Begünstigte die Erzwingung zur Verwendung von schwachem Schlüsselmaterial durch externe Angreifer auf der Leitung ChangeCipherSpec-Instruktion konnte zu beliebigen Zeiten injected werden Verwundbare OpenSSL-Versionen OpenSSL bis 1.0.1g OpenSSL bis 1.0.0l Alle Versionen vor OpenSSL 0.9.8y 35

36 Vertrauen in Zertifikatsstellen

37 Authentisierung / Identifizierung bei TLS Woher weiß der Browser, dass der angefragte Server legitim ist? Server-Zertifikate sind wie Ausweisdokumente Der Aussteller der Zertifikate ist vergleichbar mit einer nationalen Passbehörde 37

38 Vertrauenswürdige CAs in Browsern Keine zentrale Datenbank Internet Explorer / M$ CTL Mozilla Firefox ios / Android Insgesamt über 650 CAs inklusive Sub-CAs Quelle: 38

39 Beispiel: Aufbrechen der Verschlüsselung Browser Angreifer Webserver TLS-Verbindung 1 TLS-Verbindung 2 Gefälschtes Zertifikat Echtes Zertifikat 39

40 Beispiel: Aufbrechen der Verschlüsselung Gefälschtes Zertifikat ist nicht gültig Ist das ein Problem? 40

41 You Won t Be Needing These Any More Untersuchung von ca. 48 Mio. HTTPS-Seiten ergab: Über 140 CA-Zertifikate in den unterschiedlichen Truststores werden nicht verwendet (Geheimdienste lassen grüßen) Von insgesamt 426 CA-Zertifikaten werden nur 2/3 benutzt Welche CAs werden für.de-domains gebraucht? 41

42 DigiNotar Hack Quelle: Heise Analyse-Bericht Fox-IT: 42

43 Türktrust-Versagen Quelle: Heise 43

44 Malware/Adware und CAs Quelle: Heise 44

45 Exkurs Zertifikate Domain Validation - Verschlüsselung - Validierung der Domain-Kontrolle - Vorhängeschloss im Browser - Ausstellung in wenigen Minuten Organization Validation - Authentifizierung des Unternehmens - Nachweis des Rechts zur Domainnutzung - Unternehmensinfo im Zertifikat - Ausstellung in 1-2 Tagen Extended Validation - Strikte Industriestandard- Authentifizierung für Unternehmen - Für Unternehmen vorteilhafte grüne Adressleiste im Browser - Ausstellung in 7-10 Tagen Quelle: 45

46 Exkurs Zertifikate DV- oder OV-Zertifikate EV-Zertifikate 46

47 Und

48 48

49 <undisclosed CA> 49

50 <undisclosed CA> 50

51 <undisclosed CA> 51

52 <undisclosed CA> 52

53 Beispiel: Man-in-the-Middle-Angriff Webserver Führt DNS-Spoofing durch, kann dadurch Datenverkehr mitlesen sowie verändern Browser Angreifer mit gültigem Server- Zertifikat 53

54 Das Revocation-Problem

55 Lebenszyklus von Zertifikaten Zertifikatsantrag: Ein Benutzer beantragt ein Zertifikat. Antragsprüfung: Die Registration Authority (RA) prüft die Identität des Benutzers/Antragstellers. Generierung/Ausstellung der Zertifikate: Die Certificate Authority (CA) stellt das Zertifikat aus. Dieses Zertifikat enthält Angaben zu Inhaber, Herausgeber, erlaubter Nutzung und Lebensdauer (gültig von und gültig bis) Revokation/Ungültigkeit: Das Zertifikat wird vor dem Verfall revoziert bzw. für ungültig erklärt. Zertifikats-Laufzeitende: Die Lebensdauer des Zertifikats ist abgelaufen. Zertifikats-Renewal: Erneuerung des Zertifikats. 55

56 Widerrufen von Zertifikaten Welche Möglichkeiten gibt es, um ein Zertifikat zu widerrufen? Quelle: stern.de Quelle: Cartoonstock.com 56

57 CRL-Listen Jede CA hat die Möglichkeit, Sperrlisten (Certificate-Revocation-Listen) zu publizieren 57

58 CRL-Listen 58

59 CRL-Listen Zitat: Quelle: 59

60 CRL-Listen Werden vom Webbrowser in regelmäßigen Abständen abgerufen Blacklist-Ansatz Soft-Fail bei allen Browsern Wenn keine CRL bezogen werden konnte, gelten alle Zertifikate als gültig Angreifer auf der Netzwerkebene kann Empfang einer aktuellen CRL einfach unterbinden 60

61 OCSP Online Certificate Status Protocol Netzwerkprotokoll auf Basis von HTTP Clients (Webbrowser) können dadurch den Status von Zertifikaten bei der CA erfragen OCSP-Antworten sind digital von der CA signiert Web Browser Fetch Certificate Fetch One OCSP Status Web Server OCSP Server 61

62 OCSP Vor dem Aufruf einer HTTPS-Webseite wird eine Anfrage vom Browser an den OCSP-Responder der CA gestellt OCSP- Anfrage Status good Browser ruft Seite auf OCSP- Anfrage Status revoked Browser verweigert Aufruf 62

63 OCSP Was passiert, wenn der OCSP-Responder nicht antwortet? OCSP- Anfrage??? Browser Browser ruft Seite auf Seite auf Quelle: 63

64 OCSP OCSP bietet im Gegensatz zu CRLs folgende Vorteile: Sekundengenaue Datenbasis CA kann Zertifikat als bad markieren, wenn verwendete Schlüssel- Algorithmen/-Längen oder Signaturverfahren als nicht mehr sicher gelten Außer Firefox bietet kein Browser den Hard-Fail an OCSP-Responder werden als Flaschenhals des WWWs angesehen Gefährdung der Privatsphären 64

65 Revocation-Wirrwarr Behandlung von widerrufenen Zertifikaten obliegt den Browsern Reicht vom Nichtbeachten des Widerruf-Status bis hin zum Verweigern des Verbindungsaufbaus Umfassende Analyse von IE, Firefox, Chrome unter Windows sowie unter ios/android ( 65

66 Revocation, wenn es klappt 66

67 OCSP Hard-Fail 67

68 Ausblick

69 OCSP Stapling OCSP-Anfragen werden vom Browser an den Server verlagert Webserver liefert zusammen mit dem Zertifikat eine aktuelle und von der CA signierte OCSP-Antwort aus Web Browser Fetch Certificate & OCSP Web Server Fetch One OCSP Status OCSP Server 69

70 OCSP Stapling Vorteile: Auslastung der OCSP-Responder hält sich in Grenzen Keine Verletzung der Privatsphäre Keine Verzögerung beim Browsen Unterstützung der Webserver: Apache ab Version nginx ab Version LiteSpeed ab Version achieves-world-domination-in-ocsp-stapling.html 70

71 OCSP must-staple OCSP Stapling hat folgendes Problem: Wird ein Serverzertifikat gestohlen (privater Schlüssel), so kann der Angreifer dieses für gezielte Man-in-the-Middle-Angriffe nutzen, indem er einfach bei seinem Server das OCSP Stapling deaktiviert und dem Opfer den Revocation-Status der CA verschweigt. X.509v3 Extension: OCSP Stapling Required 71

72

73 73