maanantai 14. huhtikuuta 2014

Mistä tunnistaa Perfect Forward Secrecy -suojan?

Heartbleed-bugi on aiheuttanut nettiturvallisuuteen uhkan, jonka rinnalla vanhat Windows XP -koneet ovat kärpäsen surinaa hakkerin korvissa.

Bugin avulla hyökkääjä voi "lypsää" web-palvelimen muistia ja katsoa, löytyykö sieltä jotain kiinnostavaa. Muiden käyttäjien tunnukset ja salasanat ovat haluttuja, mutta vielä vaarallisempi löytö on palvelimen SSL-salauksen yksityinen avain. Sen avulla hyökkääjä voi avata kaikki tulevat salatut SSL-yhteydet ja myös menneet, jos ne on kaapattu ja tallennettu salatussa muodossa.

Jälkimmäinen pätee vain, mikäli palvelin käyttää avaintenvaihtoon vanhaa RSA-protokollaa. Uudemmat Diffie-Hellmannit ns. ephemeral-muodossa ovat turvassa, koska niissä istuntokohtaisia avaimia ei voida johtaa palvelimen yksityisestä SSL-avaimesta.

Asia on helppo tarkistaa https-suojatun yhteyden ominaisuuksista. Napsauta salatusta yhteydestä kertovaa lukon kuvaa hiirellä ja tarkista, mitä tekniset tiedot kertovat:

Facebook käyttää PFS:ää, OP-Pohjola ja Nordea eivät.
Kuva on viime viikolla painoon lähteneestä kirjastani. Siinä on rinnakkain OP-Pankin ja Facebookin käyttämät SSL-tiedot Chrome-selaimen näyttäminä. OP käyttää vanhaa RSA:ta, Facebookilla on ECDHE_RSA, missä viimeinen E (Ephemeral) kertoo PFS-suojasta.

Myös DHE (Diffie-Hellman Ephemeral) on turvallinen PFS:n suhteen. Sitä käyttää ainakin Saunalahti:

DHE sisältää myös PFS:n.
Internet Explorerissa vastaavat tiedot saa näkyviin sivun ominaisuuksista, mutta näyttö ei ole lainkaan yhtä havainnollinen. Firefox on jotain tältä väliltä.

Huomaa, että PFS suojaa vain kaapatun avaimen tulevalta (tai menneeltä) väärinkäytöltä. Muiden käyttäjien salasanojen ja tunnusten ym. tietojen varastaminen on mahdollista, ellei ylläpito ole korjannut palvelunsa OpenSSL-vikaa.

Pikaisen kokeilun perusteella Google ja Twitter (Facebookin lisäksi) käyttävät PFS:ää. Sen sijaan esim. Wilma ei käytä, vaikka on haavoittuva.

Nähdäkseni Heartbleed-haavoittuvista palveluista vaarallisia ovat ne, joissa käyttäjä on vieraillut äskettäin tai bugin löytymisen jälkeen. Ellei ole käynyt palvelussa useampaan viikkoon voi ehkä luottaa siihen, ettei tietoa bugista ole vielä ollut kuin tiedustelupalveluilla, ja etteivät omat kirjautumistiedot (käyttäjätunnus + salasana) ole säilyneet palvelimen muistissa.

Tämä ei ole suositus olla vaihtamatta salasanaa, mutta onpahan jonkinlainen tekjiä riskiä arvioitaessa. Salasanojen vaihtaminen kaikista haavoittuvista palveluista on niin työlästä, että siihen ei kukaan mielellään ryhtyisi.

(Kirjoitusta täydennetty 16.4.2014)

6 kommenttia:

  1. Wikipedian mukaan 6.3% käyttää PFS:ää. Ohessa PFS hyviä ja huonoja puolia : https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-deploying-forward-secrecy

    VastaaPoista
  2. Jos hyökkääjä tietää palvelimen certificaatin yksityisen avaimen ja serveri-uhrilla on ollut PFS päällä ei noita vanhoja sessioita voi avata, mutta uudet voi avata man-in-the-middle tekniikalla, johon on valmiita laitteita saatavilla kaupasta - edellyttää, että hyökkääjä pääsee käyttäjän ja serverin 'väliin'. Mahdollista esim. huijaus mobiiliasemalla. Tuollaista hyökkäystä ei voi palvelimeen yhteyttä ottava havaita sillä yksityisen vaimen haltija voi tehdä oikean allekirjoituksen.

    VastaaPoista
  3. Jos pankki ei käytä PFS'ää pitää mielestäni rahoitustarkastuksen puuttua asiaan! Hyvä huomio Järvinen!

    VastaaPoista
  4. Ei taida mikään Suomen pankeista käyttää PFS:ää. Kuukausi sitten harva oli kuullutkaan Perfect Forward Secrecystä (oma kiinnostukseni heräsi Snowdenin vuoksi), joten toivotaan että tämäkin asia korjaantuu.

    VastaaPoista
  5. Jos Heartbleed koskisi pankkeja olisivat siis vanhat sessiot avattavissa. Jos joku tärkeä henkilö menee ulkomaille, on hyvinkin mahdollista, että hänen SSL sessionsa nauhoitetaan. Tai suomalaisten yritysten sessiot ulkomailta suomalaiseen pankkiin. Pankkiasiointi voi paljastaa mielenkiintoisia asioita taloudelliselle tiedustelulle. Rikolliset voivat hyötyä tilinumerojen ja mahdollisesti luottokortin numeron näkemisestä, Pankista riippuen voi jo pelkän kiinteän salasanan paljastuminen olla vakava asia.

    VastaaPoista
  6. Jos Heartbleed koskisi pankkeja ...Tuli mieleen pankkiautomaatit - käyttävätkö ne SSL'ää. Se olisi suunnittelijalle helppo ratkaisu. Jos asiakkaille ei anneta PFS'ää niin tuskin automaatillekaan. Olisiko siis mahdollista avata automatin liikenne ja sitten alkaa toistaa sitä ja tyhjentää tilejä. Rikollinen vain menisi automaatille, joka alkaisi suoltaa rahoja.

    VastaaPoista