From matej.kovacic at fdv.uni-lj.si  Wed Oct  7 12:55:46 2009
From: matej.kovacic at fdv.uni-lj.si (Matej Kovacic)
Date: Wed, 07 Oct 2009 12:55:46 +0200
Subject: [LUGOS-SEC] =?iso-8859-2?q?Napad_z_ni=E8elno_predpono_na_SSL/TLS_?=
 =?iso-8859-2?q?certifikate_ze_=22v_divjini=22?=
Message-ID: <4ACC73B2.6000200@fdv.uni-lj.si>

https://slo-tech.com/forum/t378925#crta

Napad z ni?elno predpono na SSL/TLS certifikate ?e "v divjini"

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09
in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za
tim. napad z ni?elno predpono (ang. null prefix attack), ki izkori??a
ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namre?
odkril, da je mogo?e registrirati certifikate v obliki
www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse
znake pred "\0" ignoriral in brez te?av podpisal certifikat za
zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in
lastni?tvo strani seveda brez te?av dokazal.

Izka?e pa se, da pri uporabi takega certifikata brskalnik certifikat
prepozna kot veljaven tudi, ?e je uporabljen na domeni www.banka.si.
Tako ustvarjen zlonamerni certifikat je torej mogo?e uporabiti pri
prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki
uspe prestre?i komunikacije ?rtve (za ta namen je bilo (za okolje Linux)
razvito posebno orodje SSLsniff), le-tej sedaj podtakne la?en certifikat
z ni?elno predpono, ki ga pred tem registrira oz. podpi?e pri zaupanja
vrednem CA-ju. Brskalnik bo certifikat sprejel in ne bo izpisal
obvestila o potencialnem napadu.

Ob predstavitvi na BlackHat konferenci so bile ranljive implementacije
SSL/TLS v Mozillini knji?nici NSS (ta knji?nica je bila pravzaprav ?e
najbolj "polomljena", saj je bilo na njej mogo?e uporabiti en sam
splo?en ponarejen certifikat za vse domene (tim. wildcart certifikat)
ter knji?nicah Microsoft CryptoAPI in GnuTLS. Posledi?no je bilo mogo?e
izvajati u?inkovit MITM napad na Firefox, Internet Explorer, Chrome,
Thunderbird, Outlook, Evolution, Pidgin, AIM, irssi ter ?tevilne druge
programe, ki uporabljajo ranljive knji?nice.

Vendar pa je Mozilla Foundation napako v dobri odprtokodni maniri ?e v
nekaj dneh odpravila, Microsoft pa popravka ?e ni uspel izdati.

Kljub resnosti je bil napad o?itno precej "teoreti?en". Vsaj do pred
nekaj dnevi, ko je bil na po?tnem seznamu "full disclosure" objavljen
certifikat z ni?elno predpono za paypal.com. ?e vse sku?aj se?tejemo, se
izka?e, da sedaj zlonamerni napadalci lahko izvajajo neopazne MITM
napade na uporabnike, ki v okolju Windows uporabljajo brskalnike
Microsoft Internet Explorer, Chrome ali Safari za obiskovanje spleti??a
PayPal.

Dodatno te?avo predstavlja dejstvo, da je Moxie Marlinspike odkril tudi
resno ranljivost v protokolu OCSP (Online Certificate Status Protocol),
zaradi katere je ponarejene certifikate z ni?elno predpono izredno te?ko
preklicati.

?e se torej ?elite za??ititi pred tem, da bi vam spletni zlikovci
ukradli podatke va?ega PayPal ra?una je v okolju Windows zaenkrat edina
razumna mo?nost uporaba spletnega brskalnika Firefox, po mo?nosti z
dodatkom PetName Tool. Druga mo?nost je, da spleti??a PayPal zaenkrat ne
uporabljate oziroma ne uporabljate SSL/TLS za??itenih komunikacij, saj
imajo morda zlikovci podobne zlonamerne certifikate tudi za druge
domene. Tretja mo?nost je, da po?akate, da bo - ko bo - Microsoft izdal
popravek za CryptoAPI.