image

Onderzoekers onthullen SSL-aanval via 13-jaar oud RC4-lek

vrijdag 27 maart 2015, 13:32 door Redactie, 5 reacties

Onderzoekers hebben een aanval gedemonstreerd waarmee het mogelijk is om een deel van de informatie die via SSL/TLS wordt versleuteld te onderscheppen. In tegenstelling tot verschillende andere aanvallen op het encryptieprotocol is het bij de aanval van beveiligingsbedrijf Imperva (pdf) niet nodig om via een Man-in-the-Middle-aanval tussen de gebruiker en het internet te zitten. Het passief afluisteren van data die bijvoorbeeld door een webapplicatie wordt ontvangen zou volstaan.

De aanval richt zich op een dertien jaar oude kwetsbaarheid in het RC4-encryptiealgoritme, dat wordt gebruikt bij opzetten van een SSL/TLS-verbinding. De kwetsbaarheid is al in 2001 beschreven en maakt het mogelijk om een "plaintext recovery-aanval" op SSL-verkeer uit te voeren als RC4 het gebruikte encryptiealgoritme is. Vervolgens kan een aanvaller gedeeltes van sessiescookies, wachtwoorden en creditcardnummers achterhalen. De kwetsbaarheid wordt veroorzaakt door de zwakke sleutels die RC4 gebruikt.

Als een aanvaller voldoende SSL/TLS-verbindingen onderschept kan zo'n zwakke sleutel worden gevonden, waarmee vervolgens de eerste 100 bytes van de versleutelde data kunnen worden gelezen. Als een aanvaller een sessiecookie probeert te stelen kan via deze aanval de effectieve omvang van het cookie worden verkleind, waarmee een brute force-aanval op het sessiecookie kan worden versneld. Via sessiecookies is het mogelijk om de sessie van een gebruiker over te nemen en zo toegang tot online accounts te krijgen.

De problemen met RC4 zijn al lang bekend en in 2013 bracht Microsoft een update voor Windows uit om het algoritme uit te schakelen. De meeste browsers zouden RC4 nog steeds ondersteunen, alsmede meer dan de helft van de servers. Volgens de onderzoekers zou zo'n 30% van de TLS-sessies nog steeds RC4 gebruiken, ook al is het sterkere AES-algoritme al geruime tijd beschikbaar.

Reacties (5)
27-03-2015, 13:55 door Anoniem
RC4 is een streamcipher, AES is een standaard iets met appels en peren?
27-03-2015, 15:47 door Erik van Straten
Na mijn publicatie van https://www.security.nl/posting/406116/https+lekjes%3A+DigiD,+KPN,+ABP,+SNS,+Triodos,+ASN is er in de Tweede Kamer op 19 december 2014 over de risico's van RC4 bij DigiD gesproken, zie het verslag te downloaden vanaf http://www.tweedekamer.nl/kamerstukken/detail?id=2014D41753&did=2014D41753.

Op 18 februari 2015 is RFC 7465 "Prohibiting RC4 Cipher Suites" gepubliceerd, zie https://tools.ietf.org/html/rfc7465.

Op 12 maart 2015 heeft NIST de CVSS score (kwetsbaarheidniveau) van RC4 verhoogd van 2.6 naar 4.3, zie https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2566. Aanleiding daarvoor was een verzoek van
Michael Catanzaro, zie https://blogs.gnome.org/mcatanzaro/2015/02/20/rc4-vs-beast-which-is-worse/ en https://blogs.gnome.org/mcatanzaro/2015/03/12/stop-using-rc4/.

Op 16 maart 2015 is een artikel "Attacks Only Get Better: Password Recovery Attacks Against RC4 in TLS" (http://www.isg.rhul.ac.uk/tls/RC4passwords.pdf) van de hand van Christina Garman, Kenneth G. Paterson en Thyla van der Merwe gepubliceerd, waarmee het aantal nieuwe verbindiningen waarmee herhaald met RC4 versleutelde informatie kan worden herleid, flink is verlaagd (bron: http://www.metzdowd.com/pipermail/cryptography/2015-March/025114.html).

Op 26 of 27 maart 2015 zou tijdens de BlackHat Asia briefings Itsik Mantin een voordracht houden met de titel "Bar-Mitzva Attack: Breaking SSL with 13-Year Old RC4 Weakness". Als ik me niet vergis, is het PDF document waar de Redactie naar verwijst van zijn hand (dat kan ik niet terugvinden in het document zelf, er zijn wel verwijzingen naar eerder onderzoek van hem).

Er zijn nog steeds teveel sites (ook waarvandaan je met DigiD kunt inloggen) die RC4 ondersteunen.

En zoals Anoniem in https://www.security.nl/posting/369603/Microsoft+schakelt+RC4-algoritme+op+Windows+uit#posting369635 op 13-11-2013 opmerkte: voor zover ik weet heeft Microsoft nog geen update uitgebracht die RC4 in Windows 7 en ouder uitschakelt. KB2868725 zorgt er bij mijn weten slechts voor dat, als je zelf bepaalde registerwijzigingen uitvoert, Windows geen RC4 meer gebruikt.
27-03-2015, 17:50 door 0101
@Anoniem 13:55
RC4 is een cipher, maar de Advanced Encryption Standard is nu juist een standaard waarin een cipher wordt gestandaardiseerd; de Rijndael-cipher om precies te zijn.
27-03-2015, 17:52 door Anoniem
Dat is nu al de zoveelste keer dat cookies worden gebruikt om aanvallen te doen om de plaintext terug te krijgen.

Zou dat nou betekenen dat HTTP/2 die headers maar 1 keer over de lijn stuurt veliger is ?
31-03-2015, 11:50 door Anoniem
Door Anoniem: Dat is nu al de zoveelste keer dat cookies worden gebruikt om aanvallen te doen om de plaintext terug te krijgen.

Zou dat nou betekenen dat HTTP/2 die headers maar 1 keer over de lijn stuurt veliger is ?

Een van de manieren om encryptie aan te vallen is via een "known plaintext attack".
Dit is een aanval die gebruikt kan worden als je (een deel van) de plaintext kent, of kan raden.

Helaas is dit bijna altijd van toepassing bij de meeste internet protocollen.
HTTP stuurt bijvoorbeeld headers uit die voor het grootste deel steeds hetzelfde blijven, en ook voor andere protocollen weet je al een deel van wat er zou moeten staan. (De protocolspecificatie zegt bijvoorbeeld er op byte X de lengte van het datapakket moet staan, of altijd een vaste string "Y" start, etc...)

Een deel van de plaintext kennen, wil natuurlijk niet niet zeggen dat je de rest automatisch kan decrypteren, maar kan er wel voor zorgen dat een wiskundige attack significant minder tijd kost dan een exhaustive key search attack. (Brute force.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.