Hackers kraken SSL certificaten met 200 PlayStations
Onderzoekers hebben een lek in de Internet Public Key Infrastructuur (PKI) ontdekt die wordt gebruikt voor het uitgeven van SSL-certificaten voor websites. Het lukte het team, bestaande uit onderzoekers van het Nederlandse Centrum Wiskunde & Informatica in Amsterdam, de Technische Universiteit Eindhoven, EPFL in Zwitserland en onafhankelijke beveiligingsonderzoekers Alexander Sotirov en Jacob Appelbaum, om een kwaadaardige Certification Authority (CA) op te zetten die door alle browsers geaccepteerde SSL-certificaten kan uitgeven. Hierdoor is het mogelijk om bank en andere beveiligde websites na te bootsen, ook al gebruiken die HTTPS.
Dit geeft phishing en Man-in-the-middle aanvallen een nieuwe impuls, omdat nu ook het versleutelde verkeer is te onderscheppen, zonder dat de gebruiker voor de valse website wordt gewaarschuwd. Het onderzoeksteam merkt verder op dat hun aanval perfect met de DNS-aanval van Dan Kaminsky is te combineren. De onderzoekers geven op dit moment tijdens het Chaos Communication Congress in Berlijn hun presentatie.
MD5 kwetsbaarheid
Voor het uitvoeren van de aanval gebruikten de onderzoekers een kwetsbaarheid in de MD5 cryptografische hash functie, waardoor het mogelijk is om verschillende berichten met dezelfde MD5 hash te genereren. Normaal heeft elk bestand of handtekening waarvan men een MD5 hash berekent een unieke waarde. In 2007 toonden Nederlandse onderzoekers al aan dat het ze gelukt was om 12 verschillende PDF-bestanden van dezelfde hash waarde te voorzien.
SSL-certificaten
Er wordt op het web steeds meer vertrouwelijke informatie uitgewisseld, denk aan inloggegevens, het uitwisselen van financiele informatie, etc. Om ervoor te zorgen dat gebruikers van een website weten met wie ze de informatie uitwisselen zijn er SSL-certificaten in het leven geroepen.
Een certificaat is een document dat zowel een identiteit als een publieke sleutel bevat, en van een digitale handtekening is voorzien. De handtekening is afkomstig van een Certification Authority (CA). De CA garandeert bij het genereren van de handtekening dat het de identiteit van de eigenaar van de publieke sleutel heeft gecontroleerd en dat die eigenaar ook de corresponderende private sleutel bezit. Iedereen die de publieke sleutel van de CA bezit, kan de handtekening van de CA op het certificaat controleren. Hierdoor garandeert de CA dat de publieke sleutel in het certificaat bij de identiteit van het certificaat behoort.
Hoe werkt de aanval
Voor het uitvoeren van de aanval vroegen de onderzoekers een legitiem website certificaat van een commerciële Certification Authority die door alle browsers vertrouwd wordt. Aangezien het om een legitiem verzoek gaat, tekent de CA het certificaat. De aanval werkt alleen bij CA's die MD5 gebruiken om de handtekening van het certificaat te genereren, maar dat zijn er nog voldoende, zoals RSA Data Security, Thawte, Verisign en RapidSSL.
Het tweede gedeelte van de aanval bestaat uit het gebruik van een "intermediary CA certificate" waarmee andere certificaten zijn te tekenen die de onderzoekers willen uitgeven. Aangezien de MD5 hashes van zowel het legitieme als de kwaadaardige certificaten hetzelfde zijn, kan men de handtekening van de commerciële CA naar het kwaadaardige CA certificaat kopieren, wat daardoor geldig blijft.
Wie zo'n kwaadaardige website bezoekt krijgt een certificaat en een kwaadaardig CA certificaat opgestuurd. De handtekening van de kwaadaardige website is via het kwaadaardige CA certificaat te verifieren, en de kwaadaardige CA wordt weer geaccepteerd door de browser omdat diens handtekening overeenkomst met die van de CA root certificate die in de "vertrouwenslijst" is opgenomen. Hierdoor zal de gebruiker niets merken.
Playstation 3 power
De vereiste rekenkracht voor de aanval werd geleverd door tweehonderd Playstation 3 consoles van Sony. Als het gaat om brute-force berekeningen zijn spelcomputers superieur aan normale processoren, waarbij één PS3 gelijkstaat aan 40 moderne single core processoren. Het berekenen van de aanval kostte 3 dagen. De aanval is hierdoor ook uit te voeren door criminelen die over een groot genoeg botnet beschikken of door de staat gesponsorde aanvallers. De onderzoekers zeggen zelf dat iemand die ervaring met het onderwerp heeft, tenminste een maand nodig heeft om achter de methode te komen.
Oplossing
Om de aanval te voorkomen moeten CA's stoppen met gebruik van MD5 voor het genereren van digitale handtekeningen en certificaten. Het SHA-1 of SHA-2 algoritme zouden "acceptabele alternatieven" zijn. CA's die niet kunnen overstappen moeten als tijdelijke oplossing de serienummers van alle nieuw uit te geven certificaten randomiseren. Toch is dit slechts een noodverband, wat ook geldt voor SHA-1, waarvan delen al eerder zijn gekraakt. De onderzoekers verwachten dan ook dat het niet lang zal duren voordat SHA-1 hetzelfde lot als MD5 deelt.
Bestaande certificaten
Eigenaren van een certificaat dat met MD5 is getekend hoeven op dit moment niets te doen. "Legitiem verkregen digitale certificaten zijn veilig en vertrouwd, zelfs als ze met MD5 getekend zijn. Onze methode vereist de aanschaf van een speciaal gemaakt digitaal certificaat van een CA en heeft geen invloed op certificaten die voor andere websites zijn uitgegeven", aldus de onderzoekers. Het volledige onderzoek zal als alles meezit in de eerste helft van 2009 verschijnen. De getroffen CA's hebben inmiddels laten weten dat ze binnenkort op SHA-1 overstappen.
Het verwijderen van de betrokken CA's uit de browser kan ernstige gevolgen hebben. Wie RapidSSL uit zijn browserlijst verwijdert, kan in dit geval zo'n 30% van de HTTPS-sites op het internet niet meer bereiken.
Lezerstip!
Een lezer laat ons weten dat je vrij eenvoudig kunt zien of een SSL-certificaat met MD5 of SHA-1 is getekend en door welke instantie het is uitgegeven. Wie op het "gouden slotje" klikt, dan voor "view certificate" kiest en daarna "Details", kan voor zowel de CA als certificaat controleren welk algoritme er is gebruikt. Je hoeft dan alleen naar beneden te scrollen naar "Certificate Signature Algorithm." Als daar voor ALLE certificaten "PKCS #1 SHA-1 With RSA Encryption" staat is het goed. Kom je "md5RSA" tegen, dan moet je bijvoorbeeld de bank aanschrijven dat ze in ieder geval SHA-1 moeten gebruiken. ABN Amro, Fortis, Mijn Postbank en Rabobank gebruiken allemaal SHA-1.
Podcast
Meer over de aanval hoor je in een speciale editie van de podcast!
Kan iemand dit uitleggen?
Neemt niet weg dat MD5 gebroken is en nergens meer binnen de cryptografie zou mogen worden toegepast. Maar dat is makkelijker gezegd dan gedaan, met name root certificates revoken (dwz in browsers vervangen door een nieuwe) heeft natuurlijk grote consequenties (aanvulling 16:58 - of er root certs met md5-based sig in browsers te vinden zijn weet ik niet, maar om dit probleem te verhellpen zou je alle certificaten met md5 sigs moeten revoken vermoed ik).
Als Comodo nog geen [url=http://www.security.nl/artikel/25884/1/Ongeldig_SSL-certificaat_voor_Mozilla.com_uitgegeven.html]PKI-crisis[/url] veroorzaakt heeft dan is dat vandaag wel gebeurd...
Als je dit leest, gefeliciteerd!!!
https://www.networking4all.com/nl/helpdesk/tools/site+check/
Kennelijk wordt nu anders tegenaan gekeken, want zelfs universiteiten doen enthousiast mee aan de hype om iets te kraken en niet om iets functioneels te verbeteren of iets beters te ontdekken maar juist om het tegendeel te bewijzen.
Dat vind ik een toegevoegde waarde met een bijsmaak en ik vraag mij af of dat de richting is die de maatschappij moet nemen, want deze richting kan juist een verlammende werking hebben op vernieuwingen in plaats van een positieve werking, want gezamenlijk is alles te kraken vooral als je je gecombineerde rekenkracht tegenaan gooit. In elk geval hebben ze de publiciteit gehaald.
want het is een hackerstool geworden.
Controleer je in je browser een certificaat, of vraag je aan de CA die het uitgegeven heeft ook nog of die een certificaat voor dat domein heeft uitgegeven?
Oftewel als je een willekeurig certificaat ziet, wat met MD5 is ondertekend, controleer je dan alleen of het ondertekend is met een van de bekende publieke sleutels van de betreffende CA? of kijk je ook of het oorspronkelijke certificaat beschikbaar hoort te zijn in deze vorm?
Als je die laatste check niet doet, dan maakt het niet uit wat voor soort certificaat je bank gebruikt heeft. Als jij al op de verkeerde versie van de bank-site uitkomt (DNS vervalst bijvoorbeeld), dan zal je browser het gewoon accepteren lijkt me.
Kortom dan moet je niet alleen je bank overtuigen om op SHA-1 of -2 over te stappen, maar juist de betreffende CA overtuigen geen MD5 meer te gebruiken.
Is het niet beter om MD5 certificaten zo snel mogelijk helemaal te verbannen? Wie weet hoeveel CA certificaten die op deze manier zijn gegenereerd er rondzwerven.... Je kan vast je browser zo patchen/configureren dat zwakke hashalgoritmes resulteren in een extra waarschuwing (hoewel je met SHA-1 dan nu nog heel veel waarschuwingen gaat krijgen :)).
Lijkt me dat er zo snel mogelijk een 'omruilregelening' moet komen voor mensen met 'MD5' certificaten (gratis vervangend certificaat met dezelfde expiration date). Maar ja, nu de CA's nog overtuigen.
Comodo deed dat destijds wel bij lekke Debian-OpenSSL gegenereerde certificaten..... Ik kreeg keurig een melding per e-mail dat het certificaat vervangen moest worden, en dat het oude certificaat zou worden ingetrokken. Ik kon de nieuw gegenereerde cert. requests insturen, en kreeg dan gratis nieuwe certificaten.
Ik vermoed dat iets dergelijks nu ook zal gebeuren bij MD5 gesigneerde certificaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
