FREAK attack: Factoring aanval RSA-Export Keys

FREAK attack: Factoring aanval RSA-Export Keys

DearBytesAlertsFREAK attack: Factoring aanval RSA-Export Keys

FREAK Attack

 

Op dinsdag 2 maart 2015 is er een nieuwe kwetsbaarheid in TLS/SSL gepubliceerd, genaamd FREAK attack. Deze kwetsbaarheid (CVE-2015-0204) stelt een aanvaller in staat om de kwaliteit van de cryptografische verbindingen te verslechteren en hierdoor het versleutelde verkeer te ontcijferen.

Wat is er aan de hand? Waarom is FREAK attack belangrijk?

SSL en TLS zijn cryptografische protocollen die gebruikt worden om beveiligde verbindingen te faciliteren tussen client en server systemen, waardoor de integriteit en vertrouwelijkheid worden gewaarborgd. De eerste stap om een TLS verbinding op te zetten is de client en server af te laten spreken welke cipher suite (een set van versleuteling typen) wordt gebruikt in de verbinding.
In de jaren ’90 – toen SSL ontstaan is – hanteerde de Amerikaanse overheid strenge regels omtrent het exporteren van cryptografie. Om deze reden werden er twee cipher suites ontwikkeld. Sommige cipher suites bevatten ‘sterke’ versleutelingen, en de andere bevatten verzwakte versleutelingen. Deze zwakke versleutelingen mochten wel geëxporteerd worden. Dit zorgde er voor dat Amerika zelf goede encryptie had, en dat ‘slechte’  of ‘zwakke’  encryptiemethoden werden geëxporteerd naar andere landen. Dit gaf de Amerikaanse inlichtingendiensten een voorsprong bij het ontcijferen van de sleutels.

Op basis van kwetsbaarheden in sommige TLS/SSL implementaties zoals OpenSSL of Apple SSL is een groep researchers bij INRIA, Microsoft Research en IMDEA er achter gekomen dat het mogelijk is een server een zwakke (export kwaliteit) cipher suite te laten gebruiken in plaats van de sterke cipher suite die initieel gebruikt zou worden voor de verbinding. Om dit te doen moet een aanvaller een Man-In-The-Middle (MITM) aanval uitvoeren, welke de initiële berichten die door de client worden verstuurd injecteert met hun eigen informatie. Dit kan er voor zorgen dat de client en server – zonder dat de client dit door heeft – een zwakkere versleuteling gaan hanteren.

Als dit gelukt is kan de aanvaller de RSA modulus factoriseren en de decryptie sleutel ophalen. Deze sleutel kan  op zijn beurt weer gebruikt worden om de master TLS key op te halen.

Waar in 1990 een 512-bit sleutel gebruikt werd en als veilig werd beschouwd, kunnen dit soort sleutels tegenwoordig gemakkelijk gebroken worden vanuit een cloud omgeving. Dit kan in ongeveer een halve dag, afhankelijk van resources, wat gemiddeld minder dan $100 kost. De reden waarom dit werkt is omdat moderne servers zoals Apache één enkele export kwaliteit sleutel creëren om al hun verkeer te versleutelen. Deze sleutel wordt bij het opstarten gegenereerd, en wordt bij elke herstart ververst. Dit betekent dat een aanvaller deze aanval maar één keer per herstart van de server hoeft uit te voeren om al het TLS/SSL verkeer wat hier vandaan komt te ontsleutelen.

Wie is kwetsbaar?

Er zijn twee belangrijke punten waarom IT-proffessionals zich aanvankelijk geen zorgen maakten over de export kwaliteit cipher suites.

  1. Er zijn bijna geen servers die export kwaliteit cipher suites gebruiken.
  2. Client systemen bieden ook geen export kwaliteit cipher suites aan.

Helaas is gebleken dat deze twee conclusies niet terecht zijn. De OpenSSL/AppleSSL bugs die eerder genoemd zijn hebben hier namelijk invloed op. Toen dit bericht geschreven is waren meer dan een derde van alle encrypted webservers kwetsbaar voor deze bugs, waar onder bijvoorbeeld news sites zoals Bloomberg, webshops (Groupon) en zelfs overheids websites zoals nsa.gov. Over het algemeen zijn servers die RSA cipher suites aanbieden kwetsbaar (bijv., TLS_RSA_EXPORT_WITH_DES40_CBC_SHA). De communicatie van deze servers kan ontsleuteld en onderschept worden.

Voor Mobile is de standaard Android Browser kwetsbaar. Google heeft al wel al een patch uitgebracht voor hun browser. Echter zijn er dermate veel vendoren die hun eigen versie van Android gebruiken, dat het lang zal gaan duren om alle gebruikers beschermd te krijgen tegen deze kwetsbaarheden.

Apple systemen (iPhones, iPads, Macbooks) zijn eveneens kwetsbaar. Er zijn daarnaast meldingen gesignaleerd dat Blackberry devices met versie 10.3.1.2267 niet veilig zijn voor deze kwetsbaarheden.

Hoe lossen we dit op?

Als u een webserver beheert, raden we aan om export kwaliteit cipher suites uit te schakelen en goed na te gaan of alle cipher suites die u toelaat wel echt veilig zijn. Forward secrecy inschakelen wordt eveneens aangeraden, omdat het de link tussen de serversleutels en de sessiesleutels weg neemt. U kunt de SSL Labs tool gebruiken om te kijken of uw website kwetsbaar is.:

https://www.ssllabs.com/ssltest/

Mozilla  heeft een SSL configuratie generatie tool gepubliceerd die beheerders kan helpen een configuratie veilig te maken. Deze kunt u hier vinden:

https://mozilla.github.io/server-side-tls/ssl-config-generator/

Op Android raden wij aan niet de standaard browser maar een browser als Google Chrome te gebruiken. Dolphin of Opera is ook een goede keuze, deze browsers op Android hebben geen last van deze bugs.

Voor Apple wordt er door Apple zelf aan een patch gewerkt en dient er gewacht te worden op updates, welke naar verwachting in de komende dagen beschikbaar komen..

Als laatste zou elke applicatie die OpenSSL gebruikt kwetsbaar kunnen zijn. Hier is een patch voor beschikbaar.

Als u uw eigen browser wilt controleren kunt u dit doen op de volgende locatie: https://freakattack.com

Wat doet DearBytes Managed Services?

DearBytes is reeds bezig de systemen die beheerd worden te patchen. Klanten zullen geïnformeerd en gerapporteerd worden omtrent wijzigingen en verdere instructies.