jueves, septiembre 08, 2016

SWEET32: Nuevos ataques a Blowfish y 3DES afectan a la privacidad de HTTPs y OpenVPN

Los ataques a los algoritmos criptográficos son siempre una de las disciplinas más importantes en el mundo de la seguridad de la información. El cifrado permite dotar de una estructura sólida a la mayoría de las soluciones tecnológicas que utilizamos hoy en día, así que cada nuevo descubrimiento que debilita un algoritmo o un protocolo de cifrado siempre genera en cadena un buen número de sistemas afectados. Investigaciones como Beast, Crime, TimeDrown, FreakPoodle, Bar Mitzvah, RC4 No More, Delorean, etcétera,  acaban por tener un impacto en los medios por las consecuencias que traen.

Figura 1: Sweet32. Nuevos ataques a Blowfish y 3DES afectan a HTTPs y OpenVPN

Ahora, el próximo mes de Octubre en el congreso "ACM Conference on Computer and Communications Security" donde vamos a participar nosotros también con una investigación que hemos hecho entre ElevenPaths y la Universidad Carlos III, se va a presentar la investigación SWEET32, que trae consigo dos bugs que afectan a los algoritmos de cifrado Blowfish y 3DES, y que tienen reservados los CVE-2016-2183 y CVE-2016-6329.

Figura 2: Ataque Sweet32

Las vulnerabilidades afectan a los algoritmos de cifrado de bloque Blowfish y Triple-DES, que son utilizados por defecto en sistemas como OpenVPN (en el caso de Blowfish) y que están soportados en el 1-2% de los servidores HTTPs mundiales (en el caso de Triple-DES), lo que obligará a parchear y tomar medidas en el momento en que se hagan públicas.

Figura 3: Ataque a HTTPs y OpenVPN

En la demostración que planean enseñar en la conferencia, los investigadores harán una prueba contra una conexión HTTP-s con Triple-DES entre un navegador y un servidor web, en la que necesitarán capturar alrededor de 785 GB de tráfico, para al final recuperar un Cookie HTTP con el flag Secure transmitida por un canal HTTPS.

Esto, en la PoC que van a presentar se hizo en un laboratorio capturando datos durante menos de dos días, aunque no parece muy práctico en la vida real. Sin embargo, en el caso de una conexión OpenVPN con Blowfish esto sí puede suceder, ya que hay conexiones VPN que se tiran entre sedes que se mantienen activas durante mucho más tiempo.


Figura 4: OpenVPN sobre Raspberry Pi con Latch

Seguro que cuando se publique el artículo definitivo vamos a ver parches de navegadores de Internet, de OpenSSL y de OpenVPN, así que si te montaste tu solución de OpenVPN con Raspebry Pi, Virus Total y Latch, estáte atento para actualizar cuando salga publicado el detalle completo de la investigación.

Saludos Malignos!

14 comentarios:

  1. Pues en elevenpaths usais triple-des

    ResponderEliminar
  2. @Nombre apellidos. Como dice la web de Sweet32, el problema es que es aún muy usado por clientes en Internet y por eso los servidores lo siguen utilizando. El bug está en la implementación en el cliente y el protocolo de negociación por eso se van a actualizar WebBrowsers, OpenVPN y OpenSSL. Nosotros actualizaremos el software cuando estén liberados los parches dentro de nuestro proceso de actualizaciones rutinario para estos casos.

    Saludos!

    ResponderEliminar
    Respuestas
    1. 3DES se considera roto hace ya bastante y por otros motivos, no por sweet32 :)

      Eliminar
  3. @Nombre apellidos, por eso solo se usa con propósito de compatibilidad. Aquí tienes info de la calidad de nuestro certificado digital, para que veas que seguimos las mejores prácticas https://www.ssllabs.com/ssltest/analyze.html?d=www.elevenpaths.com&latest En el caso de 3DES en entornos de compatibilidad y para evitar ataques efectivos, se toman medidas de remediación. Es por eso que con Sweet32 se van a actualizar OpenSSL y los webbrowsers para evitar ataques de downgrade.

    Saludos!

    ResponderEliminar
    Respuestas
    1. Ok ok, como tu quieras. Pero las recomendaciones a dia de hoy indican no usar ciphers de menos de 128 bits, y elevenpaths los usa inferiores a eso. Pero oye, si me dices que lo haceis por compatibilidad pues estupendo...

      Eliminar
  4. @Nombre apellidos, ya has visto el informe de protocolos CBC que se usan en SSLTest con nuestro cert? Ahí tienes la respuesta. Saludos!

    ResponderEliminar
    Respuestas
    1. Claro que lo he visto. Usais 3DES con 112 bits. ¿Hiciste scroll y no lo vistes? ¿O eres un profesional que se guia por colores que te da ssllabs en vez de hechos tecnicos y buen documentados?

      Eliminar
  5. @Nombre apellidos, puedes ponerte en contacto con nosotros si quieres debatir sobre el certificado y si te animas y nos haces una PoC del ataque que crees que se podría hacer estaremos encantados de revisarla. Nosotros tenemos un equipo de personas que mira estas cosas continuamente y ellos estarán encantados de mejorar. Por ahora, lo tenemos habilitado porque como podías ver en la lista de negociaciones que te he pasado (que creo que no has visto) es necesario para IE8 con Windows XP, y aún la cuota de mercado es alta en esas versiones. Así que, por compatibilidad está activado, junto con las medidas de mitigación de las versiones superiores para evitar ataques de downgrade. Si necesitas más información, más que felices de contarte más sobre ello.

    Saludos!

    ResponderEliminar
    Respuestas
    1. Genial genial. Entonces, como dices en tu articulo, vosotros sois unos de ese 1%-2% que soporta 3DES, pero oye, por compatibilidad. Encantado de haber discutido esto contigo. Me queda mas claro que tipo de profesional eres.

      Eliminar
  6. @nombre apellidos, sí porque nuestra web es 100% HTTPs. Las webs públicas que tienen HTTPs por defecto, suelen habilitarlo para la compatibilidad XP/IE8 (con cuota alta aún de visitas en nuestras estadísticas). Los sitios que no tienen HTTPs en toda la web tienen solo una zona bajo HTTPs y por eso suelen quitar 3DES porque generalmente no dan soporte ni a esas plataformas. Pero cuando es 100% HTTPs lo suelen dejar. No son todavía muchos los sitios que están 100% bajo HTTPs, por eso ese 1-2%. Te recomiendo que mires cómo lo hacen otras empresas tecnológicas en el mundo. Al final, la seguridad debe buscar un equilibrio con la usabilidad, la funcionalidad para el negocio (en este caso difusión de contenido) y la gestión del riesgo. Por eso los CISO y los CSO tienen que aprender a tomar ese tipo de decisiones.

    Saludos!

    ResponderEliminar
  7. @nombre apellidos exacto, como Facebook, Apple o Microsoft (y el resto de los que tenemos HTTPs 1005). Encantado de ver tu PoC con nosotros o con Facebook funcionando. Saludos!

    ResponderEliminar
  8. Muy buenas, ayer recibimos una llamada de una mujer, llamo al móvil de mi novia coji yo, en ese momento mi novia no estaba y le dije que que quería me.dijo que.nada.que era una.mujer de una.panadería q habían coincidido y le.había dado el número....( todo muy raro) así que coji mi móvil y le hable por wathsap haciéndome pasar por ella y. Me dice te acuerdas de mi de la.panadería, (palabras textuales) y mi novia que ya había llegado me.dijo que.no así.que.le.puse eso, y me.dice si una chica que iba cn.un.cabrito que nos conocimos y me distes.el número y era mentira, que haber si podíamos quedar en una.panadería,no me decía ni el nombre...le digo que no, que no la conozco y me dice espera que te paso una.foto mírala....la cosa es que me.dijo el.nombre.de mi chica y la tarjeta tiene solo un mes y llamo a ese numero, me dio por mirar el número imei y acaba en tres 0, que puedo hacer?, agradecería una respuesta,si quieres te puedo dar el número de teléfono que me llamó, muchas gracias, buen blog jjej

    ResponderEliminar