Správci serverů a autoři prohlížečů se museli vypořádat s novou chybou FREAK. Její historie sahá až do raných 90. let a konce studené války. Byla vlastně uměle vytvořená.
Je to už téměř rok, co svět zachvátila mánie okolo zranitelnosti Heartbleed. Jelikož se jednalo o takzvanou chybu zero-day, dnes už těžko někdo spočítá, jakou škodu vlastně způsobila. Zranitelnosti tohoto druhu jsou totiž chyby, které odhalí bezpečnostní specialisté dříve, než se stane opravdu velký malér a chybu ve velkém zneužije nějaký zlý útočník.
Rok po Heartbleedu
Heartbleed tedy nakonec v praxi možná až tak neublížil – respektive chybí studie, která by zmapovala jednoznačné oběti, ale zadarmo rozhodně nebyl. Podle některých a opravdu odvážných zdrojů se mohly veškeré náklady vyšplhat až na stovky milionů dolarů. Firmy totiž prováděly bezpečnostní audity, správci webů aktualizace a velké počítačové firmy nalily miliony dolarů do nového dotačního programu Core Infrastructure Initiative, který chce finančně a odborně podpořit kvalitnější vývoj klíčových open-source projektů. Komunita si totiž díky Heartbleedu uvědomila, že zdrojové kódy hromady široce používaných knihoven ze světa OSS vlastně nikdo pořádně nekontroluje, přestože se podobně jako OpenSSL nacházejí v každé druhé síťové krabičce.
Heartbleed zdaleka nebyl první a ani poslední kritickou zranitelností s globálním dopadem. Pro počítačovou komunitu je tedy velmi důležité, aby chyby z rodiny zero-day jako první vždy objevili hodní hackeři, nikoliv ti zlí. Google proto loni v červnu vyčlenil zvláštní tým Project Zero složený z několika předních bezpečnostních specialistů, kteří je od té doby hledají a hledají… A také úspěšně nacházejí. V úterý jsme na Živě.cz například psali o poměrně netradičním viru, který využívá fyzikálních zákonitostí v paměťových modulech DIMM.
FREAK
Project Zero samozřejmě není jediný svého druhu. Na počátku března se ozvali bezpečnostní specialisté ze skupin INRIA, IMDEA a Microsoftu a popsali novou zranitelnost, které dali docela výstižné označení FREAK – Factoring RSA Export Keys.
Podstata FREAKu spočívá ve vynuceném snížení zabezpečení šifrovaného HTTPS spojení použitím slabšího šifrovacího klíče RSA. Aby tedy tento útok mohl fungovat, musí být děravý jak server, tak prohlížeč. Internetový server musí být ochoten komunikovat se slabým šifrovacím klíčem a prohlížeč musí být zase ochoten toto spojení akceptovat.
Když se o zranitelnosti dozvěděla internetová scéna, bylo k chybě náchylných něco málo přes 12 % z milionu nejnavštěvovanějších webů z žebříčku Alexa a až třetina všech ostatních stránek na internetu, které používají HTTPS. Dnes je situace už o něco málo lepší, na seznamu náchylných webů ale přesto stále figurují i poměrně populární domény.
Chrome je zabezpečený, IE 11 zatím ne, protože jsem doposud nenainstaloval záplatu. Už je ale k dispozici.
Situace mezi webovými prohlížeči se za poslední dva týdny také výrazně zlepšila, jejich autoři totiž postupně vydávají opravy. Pokud používáte nejnovější verzi, neměli byste se ničeho obávat. Problém ale může nastat třeba na starých Androidech bez Chromu a některých dalších mobilních a méně často aktualizovaných platformách. Nejlépe tedy uděláte, pokud v prohlížeči navštívíte přímo stránku https://freakattack.com, která napíše, jak na tom jste. Pokud surfujete v Internet Exploreru a objevíte varování, záplatu najdete zde.
Desítky let starý problém
Pojďme se nyní na FREAK podívat trošku zblízka. Kvůli rostoucímu počítačovému výkonu je třeba pro šifrování používat stále silnější klíče. Současným standardem bezpečnosti jsou tedy RSA klíče s délkou alespoň 2 048 bitů.
Dříve tomu tak ale nebývalo. Ještě v 90. letech minulého století se na americký šifrovací software vztahovala přísná exportní pravidla. Pokud tedy chtěl americký vývojář uvést na mezinárodní trh software, který používal RSA šifrování, jeho klíče musely mít délku nejvýše 512 bitů. Díky tomu si Amerika pohlídala, aby potenciální nepřítel nezískal silnou technologii a 512bitové klíče zároveň mohla rozlousknout dobře financovaná agentura NSA. Na šifrování se jednoduše pohlíželo podobně jako na vojenské a jiné zboží strategického významu. Studená válka ostatně skončila teprve nedávno.
Jak ale přibývalo domácích počítačů, internetových uživatelů a zahraničních šifrovacích softwarů srovnatelné kvality, rostl tlak na uvolnění pravidel, ke kterému došlo prezidentským výnosem č. 13026 z listopadu 1996. Billovi Clintonovi tedy vděčíme nejen za přesnější GPS, ale i za vyšší bezpečnost na internetu – vždyť většina webových prohlížečů a jejich šifrovacích technologií pochází právě z USA.
Clintonův podpis na výnosu 13026, který zrušil povinnost dodávat k exportovaným šifrovacím softwarům slabé šifry
Roky plynuly, výkon počítačů stále narůstal a hackeři postupně prolamovali jeden klíč za druhým. Bezpečnostní standardy se navyšovaly, 512b RSA klíče vystřídaly 1 024b klíče a dnes povětšinou 2 048b klíče. Nicméně v mnoha šifrovacích softwarech včetně těch, které používají prohlížeče a webové servery však zůstala i podpora pro komunikaci pomocí starých a slabých klíčů, které musely splňovat tehdejší americkou exportní legislativu. Proto se jim dodnes říká RSA_EXPORT.
A to už se dostáváme do roku 2015 a ke zranitelnosti FREAK. Pokud server podporuje slabé klíče z rodiny RSA_EXPORT a útočník si vynutí takto chabě zabezpečenou komunikaci, může zachytit potřebná data a klíče během několika málo hodin prolomit třeba s pomocí ohromného výkonu, který mu dodají komerční cloud-computingové služby od Amazonu, Googlu a dalších.
Zneužití FREAKu v praxi. Servery NSA.gov umožňovaly komunikaci se slabým šifrovacím klíčem, který pak mohli specialisté rozlousknout a použít k tomuto útoku v Safari. Vše se zdá být v pořádku, ale ve skutečnosti vede zdánlivě ověřená doména nsa.gov na IP adresu počítače útočníka.
S prolomeným klíčem se pak může útočník vydávat za samotný web a zneužít toho v útoku typu MITM – prostředník. Ostatně specialisté, kteří na zranitelnost přišli, chybu demonstrovali přímo na stránkách NSA.gov, protože zranitelný by i server americké bezpečnostní agentury.
Útočník s prolomenými klíči může navštívit třeba internetovou kavárnu s veřejnou sítí Wi-Fi. Pomocí MITM útoku přesvědčí všechny připojené počítače, že adresa https://nsa.gov vede na IP adresu jeho notebooku a nikdo nic nepozná, díky prolomeným klíčům se totiž bude vše jevit v pořádku a útočník uvidí veškerou dešifrovanou komunikaci. Pokud bude k útoku náchylný nějaký populární web s uživatelskými účty, útočník zase snadno získá přihlašovací údaje, protože bude znát klíč k jejich dešifrování.
Chyby, o kterých zatím nikdo neví
FREAK tu je už celé roky a možná jej někdo v minulosti skutečně zneužil, jelikož ale nebyl v obecném povědomí, větší povyk způsobil až po svém oficiálním představení letos v březnu. Doufejme tedy, že se díky rychlé reakci autorů softwaru stane opět minulostí.
Už nyní je ale jisté, že kdesi v programovém kódu číhá zase něco dalšího. Ještě o tom nevíme – možná jen NSA, ale až to objeví reverzní inženýři z Google Zero a dalších skupin, opět způsobí obrovský poprask. Software je totiž stále komplikovanější a i s nejdůkladnější kontrolou je zhola nemožné, aby se v něm čas od času neobjevil nějaký další závažný bezpečnostní šotek.
Bezpečnostní audit HTTPS
Důkladný audit HTTPS zabezpečení provede třeba Qualys SSL Labs v rámci svého SSL Server Testu. Stačí zadat adresu libovolného šifrovaného webu a nejpozději do několika minut získáte kompletní skóre i popis zabezpečení a možných útoků na technologi SSL a TLS.
