ΑρχικήinetROBOT επίθεση: Επέστρεψε και επηρεάζει γνωστά sites

ROBOT επίθεση: Επέστρεψε και επηρεάζει γνωστά sites

Ερευνητές ασφαλείας ανακάλυψαν νέα παραλλαγή μιας παλιάς επίθεσης κρυπτογράφησης μέσω της οποίας μπορεί κάποιος να υποκλέψει στοιχεία από το πρωτόκολλο HTTPS. H επίθεση αυτή ονομάστηκε ROBOT (Return Of Bleichenbacher’s Oracle Threat) καθώς βασίζεται στην παλιά “Bleichenbacher” επίθεση πάνω στον RSA αλγόριθμο. Ας δούμε λίγο την ιστορία του…

 

Robot

 

 

To 1998 ο Daniel Bleichenbacher της Bell Laboratories ανακάλυψε ένα bug στην λειτουργία των TLS servers και συγκεκριμένα στην κρυπτογράφηση του κλειδιού ασφαλείας μεταξύ server-client. Όταν ένας client (browser) και ένας server ξεκινούν να επικοινωνούν μεταξύ τους μέσω HTTPS, ο client επιλέγει ένα τυχαίο κλειδί για την κρυπτογράφηση του δημοσίου κλειδιού του server. Επειδή ο RSA αλγόριθμος δεν έχει καλή ασφάλεια χρησιμοποιείται άλλο ένα επίπεδο με τυχαία bits πάνω στο κλειδί για μεγαλύτερη προστασία. Το πρόβλημα εντοπίζεται σε περίπτωση που κάποιος χρησιμοποιήσει το PKCS(PUBLIC Kia Cryptography Standards) #1 1.5 σύστημα καθώς ο επιτιθέμενος μέσω μιας απλής brute-force επίθεσης μπορεί να μάθει ποιο είναι το κλειδί αποκρυπτογράφησης μηνυμάτων μεταξύ του server-client.

Επιστρέφοντας στο 2017, οι τρεις ερευνητές αναφέρουν οτι το πρόβλημα βρίσκεται κυρίως στον server εξοπλισμό που προσφέρουν οι διάφοροι κατασκευαστές (Cisco, Citrix, F5, Radware) οι οποίοι δεν συμμορφώνονται με το πρότυπο TLS RFC 5246 (Section 7.4.7.1), αρά χρησιμοποιούν το συγκεκριμένο σύστημα κρυπτογράφησης με αυτήν την ευπάθεια.

Σε ένα τεστ που έκαναν οι ερευνητές στα Alexa Top 100 sites ανακάλυψαν ότι τα 27 έχουν αυτό το κενό ασφαλείας συμπεριλαμβανομένων και των γνωστών Facebook και PayPal.

Μέχρι την κυκλοφορία κάποιου patch η λύση είναι να απενεργοποιήσετε την RSA κρυπτογράφηση σε HTTPS(TLS) σύνδεση και να χρησιμοποιήσετε την ECDH. Για όσους ενδιαφέρονται, υπάρχει και ένα Python script που φτιάχτηκε για τους server admins προκειμένου να ελέγξουν αν υπάρχει η ευπάθεια αυτή στο δίκτυο τους. (https://github.com/robotattackorg/robot-detect)

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS