Tag Archives: turvaviga

Turvaviga DROWN

DROWN logo

DROWNi logo

Anto Veldre, RIA analüütik

Sel nädalal avalikustati veebiservereid puudutav turvaviga DROWN. Tegemist on peaaegu sama kaalukategooria murega nagu 2014. aasta suursündmused HeartBleed ja Poodle ning probleem on mõnevõrra sarnane OpenSSL vähemmõjusa turvaauguga.

Uue turvaaugu nimi pärineb lühendist DROWN: Decrypting RSA with Obsolete and Weakened eNcryption. Rünnak kasutab samaaegselt ära nii mitut turva-alast võtet ja trikki, et neist arusaamiseks tuleb eelnevalt anda pisut taustainfot.

SSL või TLS avang

https:// veebilehitseja aadressiribal

https:// veebilehitseja aadressiribal

Krüpteeritud sideühendused on täna üleüldine käitumisnorm. Isegi Facebook’i minnakse turvalise ühendusega, st sellisega, et sirviku aadressribal paistab https://. Krüptitud sideühenduste kasutamine on siiski oluliselt laiem, sest sageli on salasilma eest krüptograafiliselt peidetud ka meiliserverite liiklus (IMAP ja SMTPS protokollid).

Sideühenduse päris alguses, kui klient alles pöördub turvalise veebiserveri poole (säärase, mille aadressi alguses paistab https://), lepivad kliendi sirvik ja serveri krüptomoodul omavahel kokku šifri. Nimetagem seda kokkuleppimise protsessi esmaseks käepigistuseks või avanguks.

Vaid šiffer takistab pealtkuulajal sidekanalit pealt kuulata, näha lahtise tekstiga seal liikuvat infot (paroolid, ärisaladused, delikaatne vestlus) ning saadud infot kuritarvitada. Ühesõnaga, kui krüpto ei pea, on see paras katastroof.

Polsterdusoraakel

Delfi oraakel, Heinrich Leutemann (1824–1905), allikas: Wikimedia Commons

Delfi oraakel, Heinrich Leutemann (1824–1905), allikas: Wikimedia Commons

Delfi oraaklit teavad ajalookursusest kõik. See oli tegelane, kes suutis anda õigeid vastuseid suvalistele küsimustele. Krüptograafias kasutatakse säärast terminit nagu polsterdusoraakel (eesti keeles on nähtud ka sõna täidistusoraakel) – ingl. k. padding oracle.

Krüptogramm pole ju alati sama pikk kui plokkšifri võtmepikkus, vahel jääb krüptogrammi lõpuosast märke puudu ning siis täidetakse tühjus lihtsalt mingi prahiga. Häda nüüd selles, et kui praht on iga krüptogrammi puhul sama, siis Oraakli käest ülearu palju kordi küsides võib tõele (ehk siis ka krüptogrammi enda sisule) liiga lähedale jõuda.

Kes tahab näha polsterdusoraaklit praktikas tegutsemas, vaatab blogianimatsiooni.

Üleliigne pole meenutada, et ka Eesti ID-kaardi osas on varemalt tõstatatud polsterdusoraakli küsimus, kuid tänu ID-kaardi väga selgele kasutusviisile seekord turvaauku ei tekkinud (loe: polsterdusoraakel on väga moodne teema).

Nudikrüptograafia

Poliitiliselt tundlikel ajaperioodidel tootis USA kaht eri kangusega krüptot – üht iseendale, teist (export grade) ülejäänud maailmale. Vahepeal on poliitiline kliima küll paranenud, kuid mõlemad avangumallid (nii “õige” kui “lahjendatud” export-grade kraam) lähevad installipaketis kaasa enamike teenuseserveritega. Serveri peremees peaks selle export grade värgi kohe alguses välja viskama ja SSLv2 koos sellega, kuid laiskusest või mingil pärandpõhjusel ta sageli ei tee seda.

Avanguprotokollid TLS ja SSLv2

Kasutaja sirvik saab serveriga avanguid kokku leppida mitmes eri “keeles”. Vanem keel on SSL, kusjuures juurde märgitakse ka versiooninumber (v1, v2 või v3). Uuema aja standard on TLS.

SSL – Secure Sockets Layer
TLS – Transport Level Security

Põhjusel või teisel (maksimaalne ühtesobivus!) kipuvad veebiserverid toetama mõlemat avanguprotokolli korraga.

Rünnaku eeltingimused

Rünnaku kõige tähtsam eeltingimus on, et kurjami käsutuseks oleks võimalus sideliini pealt kuulata. Eks eri maade arvukad luurekeskused teritavad kõrvu igapäevaselt, kuid enamasti nad ei lähe saadud infoga vargile. Seevastu kurjategijate ligipääs minu ja näiteks pangaserveri vahelisele liiklusele on vähetõenäoline. Kui just keegi kusagil Kapa-Kohilas oma netiühendust naabritele ei jaga ja omaenda kliente pealt ei kuula.

Veel on rünnaku läbiviimiseks vaja, et sama serverisertifikaat (ja vastavalt siis ka võti) oleks samaaegselt kasutusel nii TLS kui ka SSLv2 protokolli kaudu. Mõlemat on vaja, sest rünnaku esimene osa hangib infot TLS avangust, rünnaku teine osa aga kuritarvitab SSLv2 protokolli iseärasusi. Servereid, mis pakuvad üheaegselt nii protokolle TLS kui ka SSLv2, on maailmas hinnanguliselt 17% (kõigist teenuseserveritest).

Kuid sertifikaat maksab raha. Teenusepakkujad hoiavad raha kokku – tarvitades ühtsama RSA võtit ja ühtsama serverisertifikaati mitmel masinal paralleelselt. Näiteks avatakse vasakus masinas (kus pärandkompatiiblus on oluline) vaid SSLv2, paremas (turvalisemas) masinas aga üksnes TLS. Teadustööst selgub, et vahet pole, kas sama privaatvõtmega teenindatakse ühe masina kahest eraldi pordist või hoopis mitmest eraldi masinast. Kui sama salajane võti on paralleelkasutuses nii TSL teenindusluugis kui ka SSLv2 teenindusluugis, siis DROWN rünnaku salakaval matemaatika töötab! Säärast tingimust rahuldab aga juba tervelt 33% maailma teenusserverite koguarvust. Lühilausena – DROWN-rünnaku eeltingimusena peab sama privaatvõti/kasutajasertifikaat olema korraga kasutusel nii TLS kui SSLv2 protokolliga. Häda serveriomanikele, kel nii on!

Ründe kirjeldus

Koledad matemaatilised valemid jätame vahele, igaüks saab neid ise lugeda teadustööst.

Mida kurikael ründamiseks teeb?

a) Kuulates pealt mõnd tihedasti pruugitavat sideühendust, kogub ta umbes 1000 sessiooni TLS avanguid. Mõne keskse sotsiaalvõrguteenuse ääres pealt kuulates koguneksid 1000 komplekti avanguid mõne sekundiga. Ise midagi saata pole vaja, piisab passiivsest pealtkuulamisest.

b) Nüüd arvutab kurikael neist tuhandest avangust kakskümmend tuhat tantsukutset, millega õrritab kas sama serverit või sama võtit kasutavat sõberserverit, kuid SSLv2 protokolli abil. Et olmetermineid pisutki teadusterminitega kokku viia, kujutleme naljatlevaid poisikesi, kes on Delfi oraaklile ligi hiilinud, loobivad teda 20 000 korda järjest prügiga, ise iga kord küsides – ja mis see on? Vaene server (oraakel) siis iga kord vastab neile midagi.

c) Kurjam kogub saadud 20 000 vastust kokku (jätame keerulise matemaatika siinkohal vahele) ning voilaa! teadlased leiutasid valemi, millega üks sideseanssidest lahti dešifreerida.

Et hästi selge oleks – 1000 kliendi avanguid pealt kuulates ja pärast 20 000 ajuloputuspäringut (teise teenusesse) on kurjamil siiski võimalik lahti muukida vaid üks sideseanss 1000-st. Serveri poolel ühtlasi ehk ka märgatakse, et keegi tülitab serverit lihtsalt niisama, pulli pärast. Aga kui majas ollakse hooletud, ehk ei märgatagi …

Kes on ohustatud?

Suisa koduperenaised ohustatud ei ole. Rünnak on kallis – üheainsa sideühenduse mahavõtmiseks (tõsi, sealt seest saab parooli, millega juba edasi sisse murda) kulub mitusada kuni kakskümmend tuhat raha. Seevastu sihitud rünnakuobjektid – advokaadid, kirikuhärrad, ärimehed, raamatupidajad, riigiametnikud, sõjaväelased – ehk siis kõik need, kelle käsutuses on mingit hinnalist infot, peaksid vägagi ette vaatama, mitte pruukima kahtlasi SSL/TLS ühendusi.

Muud küsimused

Q1 Mida saab kasutaja ära teha?
A1: Mitte midagi. Vaid serveriomanik saab. Kasutaja saab teda tülitada, kuniks asjad korras.

Q2: Kust saan teada, kas minu tarvitatav teenus on mulguline?
A2: Päris kindlat garantiid ei anta, kuid testimisvorm asub lehe keskel.

Q3: Kas minu lemmikteenuseserver on ohustatud?
A3: Lase oma itimehel testida. DROWNi publitseerimise hetkel oli ohustatud neljandik internetis teenust pakkuvatest serveritest.

Q4: Kas minu sideliin läheb otse usaldusväärse ISP sidevõrku või jääb vahepeale mõni kahtlasem koht?
A4: Traceroute päring abiks. Samas, passiivset pealtkuulamist pole kahjuks kuidagi võimalik eemalt kindlaks teha. Siiski: kahtekümment tuhandet libapäringut peaks sinu serveriomanik ehk suutma märgata. Küsi temalt endalt!

Q5: Kuidas see tantsukutsete väljaarvutamine täpselt käibki?
A5: Ründajal peab kodus olema arvutusvõimsust tasemel 250. Paar kiiret (BitCoini arvutamiseks mõeldud) graafikakaarti koguhinnaga mõni tuhat dollarit või pilveraali üür mõnesaja dollari eest lahendavad arvutusvõimsuse probleemi. Ülejäänut loe ise algsest teadustööst.

Viited

Põhjalikumalt Androidi turvaaugust

nutitelefon

Anto Veldre, RIA analüütik

Paaril viimasel päeval prõmmivad mitmed uudiseportaalid pomm-uudist, et enamikes Android-seadmetes on hull turvaauk. No on jah. Ei ole Androidi puhul esimene ega ilmselt mitte ka viimane auk.

Kuid nagu löökaukudel ikka, ajalugu on ka oluline. Android tarvitab üht teatavat StageFright nimelist teeki selleks, et reguleerida meediafailide vaatamist kasutajate poolt (DRM).
See võimaldab tekitada digitaalset sisulõhet – tagamaks, et maksev klient näeb digisisu. Arvet peetakse siiski kõigi huviliste üle.

Kuid kui mingi asi reguleerib ligipääsu, siis eeldatakse vaikimisi, et see miski on seotud turvaga ning lisaküsimusi ei esitata. Ju on keegi turva peale mõelnud. Praktikas juhtub ka teisiti – tähtis piiranguteek StageFright sisaldab olulisi vigu ning samas on talle Androidi sees antud liiga suured õigused.

Kõrvalepõikena – Androidi puhul paiknevad üksteise peal tegelikult kaks õiguste süsteemi. Üks asub sügaval Linuxi “kõhus” ning annab StageFright teegile “system” grupi õigused. Ilmutatud tasandil (nn lubade süsteem) saab aga kasutaja oma turvaolukorda pisut ka ise mõjutada, keeldudes äppidest, mis nõuavad paigaldamisel ülemäära palju õigusi.

loabitid

Vahemikus Android 2.2 kuni Android 5.1.1 on haavatavad kõik versioonid. Arvatakse, et asi puudutab umbes 950 miljonit nimetatud op-süsteemiga seadet – tahvleid, telefone. Oht tuleneb mobiilse side võimalustest – kui seade on rünnatav 24/7/365, siis on kuritarvitamise potentsiaal kõrge.

Turvaaugu ärakasutamine on lihtne – kasutaja telefoni täielikuks ülevõtmiseks piisab, kui saata talle (näiteks uneajal) sobiliku sisuga multimeediasõnum (MMS). Omaniku ärkamise hetkeks on andmed juba varastatud ja kontroll telefoni üle antud mõnele ründekonstruktorile (exploit kit). Eriti “rõõmustavad” firmad ja riigiasutused, kes kasutavad Androide oma turvatud sisevõrgu teenuste (näiteks e-mail, dokumendid) tarbimiseks.

Ohust arusaamiseks on vaja mõista Androidi levitusmudeli iseärasusi. Kuigi AndroidOS ise kuulub Google’ile, siis iga telefonifirma või teenusepakkuja modifitseerib originaali (näiteks mõnedele Eestis levitatud tahvlitele on sisse ehitatud Eesti Ekspressi digileht, viisil, et seda ei ole võimalik eemaldada).

Eestis on väga populaarsed just Samsungi telefonid, selle firma versioonid Androidist on kohati tundmatuseni mugandunud. Tulemuseks on väga killustatud turg, ning palju väikesi tegijaid, kel lihtsalt puudub suutlikkus turvauuendusi toota. Selle teema huvilised saavad teemakohaseid värvilisi pilte vaadata siit.

Tänane seis – Google on AndroidOS algkoodis turvaaugu küll ära parandanud, kuid enamike potentsiaalsete ohvriteni see parandus ei jõua, sest telefonifirma (nagu Samsungi) või sidefirma poolt mahamüüdud Android-seade on juba modifitseerija vastutada. Loomulik, et aja jooksul kaob tootjal ning edasimüüjal huvi – kuluefektiivsem on turgu ekstensiivselt edasi vallutada, kui vanade rontidega mässata.

Ravi: hetkel saab iga kasutaja ise midagi ära teha, et sigadus ei jõuaks temani automaatselt; piisab kui MMS (ehk multimeediasõnumite) sättungites automaat-avamine (“Toomine”) ära keelata. Neil, kes omi MMS’e HangOut’i abil vaatavad, tuleks sama teha ka sealsetes sättungites. Kahjuks tuleb tõdeda, et vanemates Androidides säärane häälestuskoht puudub…

Näiteks Androidis 4.4.2 menüüs käib asi sedasi: Sõnumid -> Seaded -> Multimeediumsõnumi seaded -> “Automaatne toomine” – siit tagant peaks hetkel küll linnukese maha võtma.

Eesti keele puhul on vaja silmas pidada veel üht asjaolu – õ-tähe ülekasutamine soodustab mahuületust ning mahuületus omakorda soodustab multimeediasõnumiks teisendamist.

Turvaugu kuritarvitamise sügavast tehnilisest sisust tuleb juttu BlackHat/DefCon üritustel USAs selle aasta augusti alguses ja siis avaldatakse ka täpne rünnakukood. Kuigi tunne on, et osavad häkkerid suudavad kurja MMS saata ka ilma loenguid kuulamata. Ning hetkest, mil (öised) MMS’id saabuvad, võib enamiku vanemaid telefone ilmselt minema visata.

Üks nüanss asja juures siiski on – telefonifirmade logidesse jääb MMS kuritarvitamisest hästi dokumenteeritud kirje. Digikorralikus riigis nagu Eesti tähendab see mõningat, kuigi mitte liiga efektiivset heidutust, kuid sõnumid võivad saabuda ka välismaalt…

Vist on aeg, et ka meie siin Maarjamaal oma telefonimüüjatelt ostu tehes sagedamini küsima – kui kaua on plaan seda seadet toetada? Ja kas tugi sisaldab ka suuremate turvaaukude parandamist?

Kurjad keeled tögavad, et omaniku ainuke šanss on oma vana föön või pihukas ära ruutida ning auklik StageFright sedakaudu tasalülitada, kuid ruutimise riskidest oleme varem juba kirjutanud ning tavakasutajale seda küll soovitada ei saa – ravides välja ühe ohu, võid saada kümme uut asemele…

The Register’i artiklis spekuleeritakse, et tootjad ei hakkagi uuendama vanemat kui Android 4.1 JellyBean versiooni (samas kui hetkel viimane versioon on Android 5.1.1 Lollipop) ning ironiseerivad, et kasutaja võiks võtta haamri ja oma Androidi turvakaalutlustel puruks lüüa. Kui üks juhtivaid IT-uudiste portaale teeb säärast mõru nalja, siis on asi piisavalt tõsine.

[Lisatud 2015-08-11]: Avaldati info veel teisegi suurema Androidi turvaaugu kohta – turvanõrkusest CVE-2015-3825 on hindamisi puudutatud kuni 55% Android-seadmetest.

Lisainfot:

1. http://www.theregister.co.uk/2015/07/27/android_phone_text_flaw/
2. https://threatpost.com/android-stagefright-flaws-put-950-million-devices-at-risk/113960
3. http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
4. http://venturebeat.com/2015/07/27/researchers-find-vulnerability-that-affects-95-of-android-devices/
5. http://www.bloomberg.com/news/videos/2015-07-27/950-million-android-phones-vulnerable-to-hacks
6. Twitter, kasutajad @ZIMPERIUM, @jduck
7. CERT-FI hoiatus: https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2015/haavoittuvuus-2015-067.html

(Eba)õnne küpsised koduruuterite jõulurahu rikkumas

Aastalõpusagin on jõudnud ka küberturbe maailma: lisaks Sony (järjekordselt) tabanud ulatuslikele küberrünnetele, mille tagajärjel nad ühe filmi riiulile paremaid aegu ootama saatsid, tuleb pidevalt teateid tõsistest turvavigadest internetiga ühendatud seadmetes või laialdaselt levinud tarkvaras.

Kirsina tordil on eile üllitatud teade netiturbega tegeleva CheckPointi turvauurijate avastatud nõrkuse kohta, mis mõjutab üsnagi paljusid internetti tekitavaid koduseadmeid – veaga seadmete hulgaks pakutakse 12 miljonit.

Viga on saanud numbriks CVE-2014-9222, viited whitepaperile ning esialgsele mõjutatud seadmete loetelule on postituse lõpus, lühikokkuvõte küsimus-vastus vormis ajanappuses olijatele:

Millega tegu?
Tegu on Internetist kurikasutatava turvaveaga, mille kaudu saab võtta kontrolli koduruuteri üle. Haavatav on AllegroSofti aastal 2002 loodud veebiserver, mis kasutusel paljude seadmete tarkvaras.

Kui palju on mõjutatud seadmeid?
12 miljonit on see number, mida uurijad pakuvad.

Kuidas see mind mõjutab?
Kui Sinu netiühendust pakkuv ruuter on haavatav ning ISP ei blokeeri liiklust lõppkasutaja seadmele, siis on edukal ründajal võimalik jälgida Sinu kodust internetiliiklust, proovida varastada infot ning rünnata kõiki koduvõrgus olevaid seadmeid: arvuteid, telekaid, telefone ja miks mitte ka külmkappi (kui viimasel juhtub võrguliides olemas olema).

Miks/kas on just see viga ohtlikum kui paljud muud võrguseadmete turvavead?
Väga palju veaga seadmeid, vea parandamine on paljudel juhtudel tootjapoolse huvi puudumisel raske või võimatu, vea kasutamiseks ei pea omama seadmele füüsilist ligipääsu – kõik see teeb selle vea ohtlikuks.

Mida ma saan ise teha?
Sea kodune võrk üles turvaliselt: kaitse ressursid parooliga, kasuta võrguga ühendatud seadmete kaitsemehhanisme (tulemüür, turvatarkvara jms). Pööra tähelepanu korrektsele krüpto kasutamisele – autentimisinfo ja olulised andmed peaks liikuma ainult krüptokanalite kaudu ning ära ignoreeri veateateid – näiteks teadet veebilehe sertifikaadi vea kohta. Kui netiruuter on Sinu oma, siis uuenda selle tarkavara regulaarselt.

Kokkuvõtlikult – Suureks Paanikaks pole põhjust, oluline on aga olla teadlik selle vea olemasolust ja viisidest, kuidas kurikaelad seda viga kuritarvitada saavad; siis saab planeerida ka kaitse- ning ennetustegevusi.


Lisad (välisest allikast):

Ülevaatlik dokument
Seadmete loetelu (kindlasti mitte täielik)
Teemakohaline mikroveeb