Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SSLv3 protocol lek?

14-10-2014, 15:24 door Erik van Straten, 11 reacties
In http://www.theregister.co.uk/2014/10/14/nasty_ssl_30_vulnerability_to_drop_tomorrow/ staat dat er morgen mogelijk een nieuwe kwetsbaarheid in SSLv3 zal worden gepubliceerd.
Zie ook: https://twitter.com/briankrebs/status/521301468192968704.

Het lijkt op een lek in het protocol, wat zou kunnen betekenen dat het voor alle besturingssystemen zou kunnen gelden. Onduidelijk is of de kwetsbaarheid ook in TLS v1.0 aanwezig is, dat sterk op SSLv3 lijkt.

SSL/TLS versies zijn als volgt, van oud naar nieuw:
SSLv2 - was al jaren kwetsbaar
SSLv3 - wordt nog steeds ondersteund door zeer veel servers, maar zou dus kwetsbaar zijn
TLS v1.0 - minimale verschillen met SSLv3: ik hoop dat TLS v1.0 niet kwetsbaar is
TLS v1.1 - Tussenversie
TLS v1.2 - Actuele en meest gebruikte versie, ondersteund door alle moderne webbrowsers

Wellicht is het een idee om vast te inventariseren welke internet-facing servers je beheert die SSLv3 praten en welke TLS versies (1.0, 1.1 en 1.2 zijn gangbaar) worden ondersteund.

De meeste clients ondersteunen tegenwoordig TLSv1.0 en hoger. In https://www.ssllabs.com/ssltest/analyze.html?d=colabora.greenpeace.es vind je een voorbeeld van een server die geen SSLv3 ondersteunt, je kunt zien dat dit voor de meeste clients geen probleem is.
Reacties (11)
14-10-2014, 15:35 door Anoniem
Ik probeer ook al jaren van SSLv3 af te komen. Alleen Marketing is bang dat die ene XP/IE6-gebruiker er niet meer bij kan komen. Ik ga deze kwetsbaarheid echter gebruiken om flink rond te gaan stampen en SSLv3 definitief uit te bannen.

TLS 1.0 is niet veel anders dan SSL v3, maar kan net voldoende anders zijn om niet kwetsbaar te zijn.

Voor iedereen die de in's en uit's van SSL/TLS wil weten, is "Bulletproof SSL and TLS" een zeer lezenswaardig boek.

Peter
14-10-2014, 16:43 door Erik van Straten - Bijgewerkt: 14-10-2014, 16:43
@Peter: mocht het loos alarm zijn: misschien helpt http://seclists.org/oss-sec/2014/q4/318 met andere reden om met SSLv3 te stoppen.

"Bulletproof SSL and TLS" (http://blog.ivanristic.com/2014/08/bulletproof-ssl-and-tls-final-released.html) is geschreven door Ivan Ristic, de SSL/TLS expert van Qualys en ssllabs.com. Ik heb het niet gelezen maar twijfel niet aan de kwaliteit.
14-10-2014, 20:34 door Anoniem
Als gebruiker browse ik zelf al jaren rond met SSLv3 uitgeschakeld, nog nooit problemen mee gehad. Pas als je TLS 1.0 gaat uitschakelen ga je het merken, al wordt sinds 1 á 2 jaar TLS 1.2 al veel meer ondersteund.
14-10-2014, 22:25 door [Account Verwijderd] - Bijgewerkt: 15-10-2014, 06:46
[Verwijderd]
14-10-2014, 23:18 door Anoniem
https://technet.microsoft.com/en-us/library/security/2977292.aspx

What might an attacker use the vulnerability to do?
Use of lower versions of TLS could allow an attacker to perform man-in-the-middle attacks and recover plaintext from encrypted sessions.

Aangezien EAP volgens dit bericht
https://support.microsoft.com/kb/2977292
standaard TLS1.0 gebruikt....

Is dan naast SSL3.0 ook TLS1.0 de klos??
15-10-2014, 00:01 door Anoniem
Nee, dat schijnt niet over de SSL3 vuln te gaan:
https://twitter.com/Nick_Lowe/status/522140678428831745
15-10-2014, 00:29 door Erik van Straten
Uit https://twitter.com/Nick_Lowe/status/522140678428831745, refererend naar https://technet.microsoft.com/en-us/library/security/2977292.aspx:
Door Nick Lowe, 2014-10-14 23:43 +0200: @briankrebs Hi, Brian. I'm credited in that KB article. Just to confirm, that fix is for something unrelated to the speculated SSLv3 issue.
Lijkt dus niet gerelateerd.

Onderaan https://isc.sans.edu/diary/OpenSSL+Vulnerability+leaked+via+OpenBSD+patch+NOT/18825 staat een verwijzing naar http://chat.stackexchange.com/transcript/message/18152298#18152298:
Door Thomas Pornin: @R?ryMcCune I don't have a twitter account. If you want, you may answer in my name: "my guess is a BEAST-like attack that abuses the ignored bytes in SSL 3.0 padding (1/256 chance of unnoticed alteration, modifies IV for next record)".
Workaround: deactivate SSL 3.0 support (in browsers or servers or both).
Ik verwacht iets in die hoek. Of het dan ook TLS v1.0 betreft moeten we afwachten.
15-10-2014, 00:35 door Anoniem
Details:

http://googleonlinesecurity.blogspot.nl/2014/10/this-poodle-bites-exploiting-ssl-30.html

https://www.openssl.org/~bodo/ssl-poodle.pdf
15-10-2014, 00:43 door [Account Verwijderd] - Bijgewerkt: 15-10-2014, 00:44
[Verwijderd]
15-10-2014, 14:33 door Anoniem
TLS1 is dus niet kwetsbaar voor deze specifieke fout, maar doet dingen nog wel op een dusdanige manier dat ik verwacht dat er vrij snel ook hiervoor een 'poodle' komt. We hebben een manier nodig om mensen sneller naar nieuwe versies te krijgen.
16-10-2014, 01:31 door Erik van Straten
Iederen hartelijk dank voor alle reacties en het meedenken!

Voor "leken" heb ik een stuk over SSLv3/POODLE geschreven dat je hier kunt vinden: https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken.

Door Anoniem: TLS1 is dus niet kwetsbaar voor deze specifieke fout, maar doet dingen nog wel op een dusdanige manier dat ik verwacht dat er vrij snel ook hiervoor een 'poodle' komt. We hebben een manier nodig om mensen sneller naar nieuwe versies te krijgen.
Absoluut. Helaas zijn er nog veel servers die hooguit TLS v1.0 ondersteunen.

Ook dramatisch is dat er nog steeds RSA sleutels van 1024bits worden gebruikt (in rootcertificaten notabene) en dat er vandaag de dag nog certificaten met SHA1 hashes worden uitgegeven.

Bij Authenticode en andere digitale handtekeningen is SHA1 nog de absolute standaard. Zodra iemand een serieus lek in SHA1 publiceert hebben we mogelijk een enorm probleem. Helaas gebruikt Microsoft het gebrek aan ondersteuning van al lang geleden geïntroduceerde en aangeraden protocollen als SHA2 als breekijzer om Windows gebruikers tot updaten te dwingen, daarmee het hele internet in gevaar brengend (SHA2 support in Windows 7 is onvolledig terwijl dat product zelfs nog gewoon te koop is).

Uit http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx:
Door Amerk [MSFT]12 Nov 2013 7:14 AM:
[...]
US NIST Guidance has counseled that SHA1 should not be trusted past January 2014 for the higher level of assurance communications over the US Federal Bridge PKI.
[...]
The deadlines in this SHA1 deprecation policy reflect Microsoft’s estimation of the seriousness of the threat from SHA1 attacks. Our primary goal is to protect the integrity of the Windows platform and Windows customers. We want to avoid a situation where customers are caught unprepared because of a sudden advance in hash collision attacks. Without any other motivator for CAs to transition their customers to SHA2, when SHA1 becomes exploitable a sizable number of customers may be dependent on an insecure hash algorithm.
[...]
Microsoft heeft het hier over CA's, maar ze heeft zelf haar eigen zaken nog absoluut niet op orde.
Zie ook https://support.globalsign.com/customer/portal/articles/1499561-sha-256-compatibility.

Het wordt tijd dat bijv. Europa dit soort fabrikanten verplicht om, gedurende de ondersteuningsperiode van een softwareproduct, naast "security patches", ook functionele wijzigingen door te voeren die noodzakelijk zijn om veilig te kunnen blijven werken. Onze samenleving wordt steeds afhankelijker van Internet, softwarefabrikanten hebben m.i. de morele verplichting om ertoe bij te dragen dat Internet betrouwbaar en veilig is en blijft. Als ze dat zelf niet inzien moeten ze daar m.i. toe gedwongen worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.