"Microsoft aláírás a Flameren"

Titkosítás, biztonság, privát szféra

a sKyKWper/Flamer kártevő [1, 2 - a szerk.] microsoftos aláírást használ egyes komponensei megbízhatóságának igazolásához. Az SRD posztja szerint minderre a Terminal Server Licencing Service gyengesége miatt volt lehetőség, ami gyenge kriptográfiai algoritmust (tipp: MD5) használ a Távoli Asztal kiszolgálók tanúsítványainak kiállításához. A TSLS-hez először a Microsofttól kell egy köztes tanúsítványt igényelni (tehát a Microsoft ismerheti az eredeti igénylőt), amivel a szolgáltatások hitelesíthetők, a kriptográfiai hiba azonban lehetővé tette, hogy ezt, a Microsoft gyökér tanúsítójához láncolódó, kizárólag szerver hitelesítésre szánt tanúsítványt binárisok hitelesítéséhez is felhasználják.

A Microsoft a gyenge kriptó letiltásával, és a gyengének bizonyult köztes Microsoft CA-k feketelistázásával reagált a problémára.

[...]

Friss: Úgy tűnik, a hamisított tanúsítvánt arra használták, hogy a Windows Update-be ékelődjenek.

A részletek itt.

--

Kapcsolódó linkek a témában:
Flame worm was signed by forged Microsoft certificate
FAQ: Flame, the "super spy"
Security researchers ensnare Flame super worm
Flame alleged to have infected systems via Windows Update
Microsoft certification authority signing certificates added to the Untrusted Certificate Store

( pioo | 2012. 06. 07., cs – 11:52 )

Javítsatok ki ha tévedek, de ha egyszer már elszántad magad arra, hogy titkosíts (bevezetted), akkor badarság gyenge titkosítást használni. Persze vannak olyan esetek is, amikor egy erős titkosítás túl nagy terhelést okoz, de aláírásnál ez azért ritka, nem?

BTW, a secure boot is ennyit fog érni?

--
Aki falra szerelt tehennel vitatkozik, olyan mint vonat kerek nelkul, nem jut sehova.

Nem tudom, csak azt, hogy néhány éve nekem még adtak ki MD5 hashes certet.

Ami sokkal érthetetlenebb számomra az az, hogy auditok és mindenféle vizsgálatok alkalmával miért nem bukott ki az, hogy nem csak szerver hitelesítésre használható a tanúsítvány, hanem kód aláírásra is...

Audit kellett hogy legyen, főleg ilyen kényes crypto/cert témában, csak valószínűleg nem tartották kritikus területnek a terminál szerverek licenceléséhez használt kódokat ("warezban úgyis megkerülik a crackerek a védelmet patcheléssel, a vállalatok meg nem fognak vele trükközni, kifizetik a CALokat").

Itt az MS belső tanúsítvány kibocsátó eljárási rendjével is gond lehet, hogy a terminál szerverek licencelésével foglalkozó csapat eleve kapott ilyen aláíró tanúsítványt, amelyik kód hitelesítésre is használható... de lehet én értek félre valamit a storyból.

"we refined our attack in 2008 and used it to construct a rogue Certification Authority, thereby demonstrating a serious vulnerability in internet security. Our demonstration convinced Microsoft and various governments to raise the security standards for Certification Authorities, by disallowing the use of MD5-based signatures effective 15 January 2009 [6]."

http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographi…

6. "Microsoft Root Certificate Program", Microsoft.
http://technet.microsoft.com/en-us/library/cc751157.aspx.
January 2009.

Nem is kell őket lecserélni. Nincs olyan ismert támadás, ami egy meglévő md5 lenyomathoz képes lenne másik, helyes X509 struktúrájú tanúsítványt kiszámolni. A legerősebb ismert támadás (már 2007 óta) az ún. Chosen-Prefix Collision, ahol egyszerre kell számolni, s változtatni a két adathalmaz adott részét. Ez egy még most is MD5-tel ÚJ tanúsítványt kiadó CA ellen elég lehet (ha egyéb feltétek is fennállnak... lásd lent)

Az MS cikk nem mond részleteket, de mivel az algoritmust megemlítik, ezért a H-Security azt gyanítja, hogy csak az aláírást vitték át:

http://www.h-online.com/security/news/item/Flame-worm-was-signed-by-for…

"an attacker can transfer the Microsoft signature from a legitimate Terminal Server certificate to his fraudulent code signing certificate"

Ha ez történt, akkor ugyanúgy tudtak hamis certet csinálni, mint ahogy anno csináltak egy köztes CA-t 2008-ban a RapidSSL online szolgáltatását használva. Ahhoz akkor a kutatók előre számoltak ütköző párokat (épp ezért nem is sikerült elsőre, mert pl. az időzítés s máshonnan jövő kérések elhasználták az előre kiszámolt cert sorszámot): http://www.phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt

UPDATE: A pár hozzászólással lejjebb idézett cikkben ugyanezek a kutatók megerősítik, hogy az md5 Chosen-Prefix Collision volt az alapja a Flamerhez használt sikeres cert készítésnek, de egy teljesen új (vagy akár az általuk közöltnél régebbi), a lényeg: más módszerrel.

Nincs olyan ismert támadás

Ez kormányzati/titkosszolgálati akció keretében kivitelezett támadás. Szerinted csak ismert módszereket használnak? :)

egy teljesen új (vagy akár az általuk közöltnél régebbi), a lényeg: más módszerrel

Tehát nem tudni milyen módszerrel hozták létre pontosan a hamis tanúsítványt, de nagy valószínűséggel az MD5 gyengeségeit használták ki. Ergo a felsőbbszintű - szintén MD5 lenyomatos - certek is problémásak lehetnek...

A hárombetűsök sokkal könnyebben tudnak MD5 ütközést generálni a rendelkezésre álló nagy számítási kapacitásaikkal, mint a civil kutatók és könnyen lehet, hogy nem csak a publikusan is 2008 óta ismert chosen-prefix collision támadást ismerik és képesek kivitelezni, hanem másfajtát is.

Ilyen esetben sem árt proaktív biztonsági szemmel tekinteni a problémákra, mert az államilag fizetett kriptográfusok és IT security szakértők (nem etikus hackerek :) a civil szféra előtt járnak jópár évvel és a rendelkezésre álló erőforrásaik is kvázi végtelenek...

Ez kormányzati/titkosszolgálati akció keretében kivitelezett támadás. Szerinted csak ismert módszereket használnak? :)

A hollandok szerint - akik a 2008-as cikket írták - itt most ismert támadási típust használtak.

Tehát nem tudni milyen módszerrel hozták létre pontosan a hamis tanúsítványt, de nagy valószínűséggel az MD5 gyengeségeit használták ki.

Nem igaz. Mint írtam: "megerősítik, hogy az md5 Chosen-Prefix Collision volt az alapja". Ergo: biztosan ezt a konkrét, s jól ismert MD5 hibát használták ki. A módszer azonban, ahogyan kihasználták (kiszámolták az ütköző párokat) az volt más. Akár lehetett régebbi is. Írják is, hogy "design of Flame is partly based on world-class cryptanalysis."

Ergo a felsőbbszintű - szintén MD5 lenyomatos - certek is problémásak lehetnek...
...
könnyen lehet, hogy nem csak a publikusan is 2008 óta ismert chosen-prefix collision támadást ismerik és képesek kivitelezni, hanem másfajtát is.

Ha tényleg létezne ilyen támadás (konkrétan: kiderülne, hogy nem második őskép ellenálló az MD5), akkor problémásak lennének a régi root CA certek, de azt nagyon fontos látni, hogy nagyságrendekkel egyszerűbb ütköző párokat generálni (ami most is történt) mint második ősképet keresni, főleg olyat ami az X509 struktúra követelményeinek is megfelel.

Egyértelmű, hogy nagyságrendekkel egyszerűbb ütköző párokat generálni, csak abban nem hiszek egy NSA szintű szervezet nem tudna akár második ősképet is keresni. Egy ilyen malware témában valószínűleg nem fognak elpuffogtatni egy ekkora titkot (implikálja, hogy előbb-utóbb kiderül a rootkit/trójai és hogy milyen módszereket használtak), de nem csodálkoznék, ha egy komolyabb támadáshoz (főleg ahol erősen vélelmezhető, hogy nem fog kiderülni a felhasznált módszer) élnének vele.

A most épülő NSA központban (Utah) állítólag a 256 bites AES-t is törni tudják majd. Nagyon nem csodálkoznék mondjuk rajta, ha igaz lenne, mert amikor a DES-t elfogadták, akkor is tudták már azt is törni (nem véletlenül csokkentették anno a Lucifer 112 bites blokkméretét 56 bitre a szabványosítás előtt... ;)

( hrgy84 | 2012. 06. 08., p – 23:21 )

Felmerul a kerdes: mekkora effort lenne lecserelni a gyokercerteket? Azon felul, hogy majd' minden OS kapna egy frissitest?
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal