Global Preloader
Vulnerabilidad
(07/Nov/2017) DUHK y ROCA, vulnerabilidades de SSL en la cima de la clasificación

DUHK y ROCA, vulnerabilidades de SSL en la cima de la clasificación

DUHK y ROCA son vulnerabilidades específicas de la implementación relacionadas con uno de mis temas favoritos, los generadores de números aleatorios.

La vulnerabilidad "No usar claves codificadas" (DUHK) está patrocinada por el increíble equipo de investigadores Nadia Heninger y Matthew Green, aunque son honestos y dicen explícitamente que su estudiante graduada, Shaanan Cohney, hizo todo el trabajo. Heninger ha estado detrás de una tonelada de interesantes ataques criptográficos, incluido el ataque DROWN, y mi favorito personal, el descifrado del 1% de las claves SSL debido a los malos números aleatorios, la minería de tus Ps y Qs .  

Las computadoras de propósito general tienen dificultades para generar números aleatorios sin una verdadera fuente aleatoria. Muchas computadoras usan un generador de números pseudoaleatorio (PRNG); típicamente, un algoritmo determinista que intenta expandir una pequeña cantidad de datos aleatorios en una cantidad mayor. Pero se sabía que ese proceso estaba plagado de errores incluso antes de la invención de las computadoras.

"Cualquiera que considere métodos aritméticos para producir dígitos aleatorios está, por supuesto, en estado de pecado". John von Neumann, 1951.

El equipo Green / Heninger / Cohney no inventó nada nuevo con DUHK; el ANSI X.931 PRNG utilizado en algunas versiones antiguas de FortiOS VPNs y firewalls ha sido considerado basura por años debido al uso de una clave estática. Fortinet solucionó el problema hace más de tres años, y si alguien todavía tiene un software tan antiguo, es probable que tenga vulnerabilidades más fáciles de atacar.

Pero manteniéndome fiel a mi premisa original de clasificar las vulnerabilidades relacionadas con SSL entre sí, permítanme calcular un puntaje para DUHK. Un compromiso de PRNG puede no dar la clave privada del sistema a un atacante, pero les permitiría crackear pasivamente las sesiones y descifrar el tráfico de red, que podría contener datos confidenciales como credenciales de administrador.

DUHK stack rank score = 3

- Impacto = derivación de clave de sesión = 3

- Explotabilidad = (baja exposición) = 1

Mientras tanto, en el mundo no académico, muchos están poniendo los ojos en otra vulnerabilidad SSL de marca. Echa un vistazo a los comentarios sobre la excelente redacción de DUHK de Green. Incluso Green admite que DUHK es una vulnerabilidad "bastante absurda". Su conclusión de que las especificaciones criptográficas del gobierno carecen de valor, basadas en algunos ejemplos, es un poco desdeñosa. Las normas impiden a los proveedores utilizar cifrados antiguos o inseguros como RC2, o diseñar sus propios algoritmos de cifrado (lo cual es una mala idea que se llame " Ley de Schneier "). La respuesta a un estándar malo u obsoleto es diseñar uno nuevo, que es lo que sucedió con ANSI X9.31 (fue rechazado por NIST en 2011).

Pero míralo de esta manera; el estudiante de posgrado Cohney tiene toda una vulnerabilidad y su nombre en los periódicos, y es bueno para él. Habría hecho lo mismo por él si fuera Green y Heninger. Pero para el resto del mundo, si no ha parchado sus sistemas Fortinet desde el verano de 2014, hombre, es mejor que eche otro vistazo a sus decisiones de vida.

Todo lo viejo es nuevo otra vez

El regreso del ataque del calderero ( ROCA ) es también un problema antiguo. Y, al igual que DUHK, ROCA es específico para una implementación particular, en este caso, los conjuntos de chips de Infineon que a menudo se usan en tarjetas inteligentes y entornos integrados de alta seguridad (informática de confianza). Los autores de ROCA afirman que estos conjuntos de chips se encuentran en el hardware certificado FIPS 140-2 y CC EAL 5+, soluciones para las que paga decenas de miles de dólares para mantener sus claves privadas, bueno, en privado.

La mayoría de las claves vulnerables a ROCA están asociadas a tarjetas inteligentes (que en realidad no son del todo inteligentes, tienen muy poco poder de cómputo y, por lo tanto, necesitan trucos como "primo rápido" para generar claves). Pero los investigadores encontraron un puñado de claves TLS y Github vulnerables.

Con ROCA, un atacante podría factorizar una clave privada de 2048 bits con un tiempo de CPU de $ 20,000 a $ 40,000. ¡Factorizar una clave de 1024 bits es solo alrededor de $ 50! Las claves ECC probablemente no sean vulnerables a ROCA, aunque sí las claves DH. Lo que es realmente interesante es que puedes ver fácilmente mediante el examen de la clave pública si el privado es o no craqueable.

El documento real para ROCA se dará a conocer a finales de esta semana en la Conferencia de ACM sobre Seguridad de Computadoras y Comunicaciones . Pero si asumimos que los primeros detalles son correctos, cuando conectamos ROCA en mi tabla de clasificación de stack para vulnerabilidades SSL, obtiene una puntuación de 20, mucho más alta que DUHK.

Rango de clasificación de ROCA = 20

- Impacto = recuperar clave privada = 10

- Explotabilidad = no trivial = 2

Tenga en cuenta que tanto DUHK como ROCA están limitados a un puñado de sitios SSL / TLS, que es lo que estamos evaluando contra estas vulnerabilidades.