Hacken von implementierungsspezifischen! SSL-Schwachstellen

Transkript

1 Hacken von implementierungsspezifischen! SSL-Schwachstellen Basic-Constraints-Schwachstelle Null-Präfix-Attacke Thomas Konrad, FH St. Pölten, Studiengang IT Security,

2 Wozu SSL? Authentizität Vertraulichkeit Integrität

3 Einleitung Auch bei fachgerechter Verwendung nicht 100 % sicher warum? Abhängig von Algorithmen Abhängig von DNS Abhängig von Implementierung

4 Geschichte & Begriffe SSLv1: Netscape (1994) SSLv2: Weiterentwicklung von Netscape Kryptografische Analyse

5 Sicherheitslücken in SSLv2 Export Message Authentication Schwache MACs Downgrade Attack

6 Geschichte & Begriffe SSLv3: Netscape, 1995 TLSv1: IETF, 1996 Aktuell: TLSv1.2 SSLv3.1 = TLSv1

7 Funktionsweise

8 Der Handshake Einigung über Algorithmen Erzeugung der Schlüssel Authentifizierung des Servers Optional: Authentifizierung des Clients

9 Der Handshake

10 Cipher Suites

11 Cipher Suite-Sonderformen Export-Modus Gesetzliche Bestimmungen in den USA Schwache Kryptographie FORTEZZA Von NSA entwickelt NSA kann Verbindungen abhören

12 Beispiel # ssldump -i en1 -A -d port 443 and host cis.fhstp.ac.at New TCP connection #1: (50807) <-> (443) (0.0184) C>SV3.1(107) Handshake [...] ClientHello Version 3.1 random[32]= 4a e7 a8 75 e2 b0 0b e6 5f 7a 02 6f 7e fb 00 f8 80 c8 7b be 55 3f a fd cipher suites Unknown value 0x2f TLS_RSA_WITH_RC4_128_SHA TLS_RSA_WITH_RC4_128_MD5 Unknown value 0x35 TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_EXPORT_WITH_RC4_40_MD5 TLS_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 compression methods NULL

16 Beispiel (0.0300) S>CV3.1(74) Handshake ServerHello Version 3.1 random[32]= 4a a0 a5 23 3f ad 33 4e 87 6d 91 0e f d4 3e be 09 7b d f5 ea 95 a9 session_id[32]= 85 9d ca 18 a8 8d 8b 92 6c 97 e de 15 6b c c4 5a 5c be b7 a8 27 c4 69 ciphersuite Unknown value 0x2f compressionmethod NULL (0.0273) S>CV3.1(4824) Handshake Certificate (0.0000) S>CV3.1(4) Handshake ServerHelloDone (0.1163) C>SV3.1(134) Handshake ClientKeyExchange (0.0000) C>SV3.1(1) ChangeCipherSpec (0.0000) C>SV3.1(48) Handshake (0.0270) S>CV3.1(1) ChangeCipherSpec (0.0000) S>CV3.1(48) Handshake (0.0005) C>SV3.1(384) application_data (0.0332) S>CV3.1(352) application_data (0.0000) S>CV3.1(432) application_data [...]

23 Zertifikate und PKI

24 Zertifikatsprüfung Vollständige Zertifikatskette Korrektzeit der Signaturen Zeitliche Gültigkeit Prüfung auf Wiederruf (OCSP) Namenseinschränkungen (Common Name)...

25 Das Web-Modell Öffentliche Schlüssel der CAs vorinstalliert Diesen wird vertraut Häufig eingesetzt

26 Schwachstellenanalyse Schwachstellen im Standard in den verwendeten Sicherheitsalgorithmen in der Implementierung aufgrund falscher Handhabung in der Integration mit anderen Protokollen

27 Schwachstellen in Algorithmen

28 Basic-Constraints-Attacke

30 Beispiel X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Basic Constraints: critical CA:FALSE X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication

32 Basic-Constraints-Attacke Demo!

33 Fazit Anwendbarkeit 8 getestete Softwareprodukte erkennen den Betrugsversuch (aktuelle Version) Einige schlagen Verbindungsfortsetzung vor Gegenmaßnahmen Software aktuell halten Man-in-the-middle-Attacken generell verhindern

34 Null-Präfix-Attacke Common Name-Feld muss mit Domäne übereinstimmen Registrierung von subdomain.example.com WHOIS-Abfrage an example.com an Administrator

35 Null-Präfix-Attacke cis.fhstp.ac.at\0.testfirma.com

36 Null-Präfix-Attacke cis.fhstp.ac.at\0.testfirma.com Zertifikatsanfrage an testfirma.com Beim Zertifikat wird gesamter String mitgesendet

37 Null-Präfix-Attacke C-Strings mit strcmp() vergleichen: cis.fhstp.ac.at cis.fhstp.ac.at\0.testfirma.com

38 Null-Präfix-Attacke Certificate: Data: [...] Version: 3 (0x2) Serial Number: 10 (0xa) Signature Algorithm: sha1withrsaencryption Issuer: C=AT, ST=Steiermark, O=Test-CA, OU=IT, Validity CN= Not Before: Aug 20 15:57: GMT Not After : Aug 20 15:57: GMT Subject: C=AT, ST=Steiermark, L=Gnas, O=Testfirma GmbH, OU=EDV, CN=cis.fhstp.ac.at\x00.testfirma.com Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c2:30:6f:eb:51:82:55:16:f1:

39 Null-Präfix-Attacke Demo!

40 Fazit Anwendbarkeit Bei veralteten Softwareprodukten wirksam Vorraussetzung: Entsprechendes Zertifikat Gegenmaßnahmen Software aktuell halten Man-in-the-middle-Attacken verhindern

41 HTTPS-Stripping-Attacke HTTPS verhindern Aufruf einer HTTPS-Seite HTTP-302-Redirect HTTPS-Links Formulare Meta-Redirect

42 HTTPS-Stripping-Attacke

43 HTTPS-Stripping-Attacke Demo?

46 Fazit Anwendbarkeit Prinzip sehr simpel Äußerst praxisrelevant Beschränkt sich auf HTTP Gegenmaßnahmen Schwer verhinderbar Sensible Seiten direkt über HTTPS aufrufen

47 Zusammenfassung SSL ist ein sehr sicheres Protokoll Sicherheitslücken meist aufgrund von Implementierungsfehlern Lücken in den verwendeten Algorithmen Angriffen auf Systeme, von denen SSL abhängt (z.b. DNS)

48 Danke!