jueves, 5 de noviembre de 2009

Controversia con el potencial fallo de seguridad en SSL y TLS

Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encontraría en el protocolo en sí, y por tanto afectaría a prácticamente todas las implementaciones de todos los sistemas. Sin embargo otras voces indican que quizás el fallo no sea tan grave.

Es importante aclarar que el fallo no permite descifrar las comunicaciones. Al parecer es posible inyectar tráfico en texto plano como prefijo en una sesión TLS si el atacante es capaz de interceptar el tráfico. Dado que el cifrado TLS y SSL es usado por gran variedad de aplicaciones para cifrar todo tipo de tráfico (HTTP, FTP, POP3...), el impacto depende mucho del escenario donde nos movamos. Se han demostrado ataques prácticos contra autenticación basada en certificados usando servidores Apache y Microsoft IIS. Se podría reproducir la vulnerabilidad sin autenticación por certificado de cliente pero de esta forma resulta incluso más complejo.

Los dos investigadores piden una movilización de la industria para solucionar el fallo y para ello han trabajado con la ICASI (Industry Consortium for Advancement of Security on the Internet) desde agosto. Pensaban mantenerlo en secreto, hasta que un miembro de la Internet Engineering Task Force (IETF) ha descubierto esta semana independientemente el mismo fallo y lo ha hecho público.

Moxie Marlinspike, por otro lado, le resta importancia al error. Argumenta que inyectar tráfico realmente no revela nada al atacante. Marlinspike es el autor de la herramienta SSLStrip, que presentó en febrero de 2009 en la Black Hat. También afirma que para HTTP, el problema es menor aún. "No afecta al correo web, banca online o compras. Para otros protocolos, puede ser algo más que académico, pero todavía no hay propuestas de cómo podría ser".

El criptógrafo Karsten Nohl, sin embargo, dice que el problema es comparable en gravedad al fallo en DNS encontrado por Kaminsky. Cabría la posibilidad de inyectar comandos como texto plano y realmente acceder a información sensible durante la comunicación.

Marsh Ray y Steve Dispensa defienden que deben parchearse todos los productos que usen TLS y SSL, tanto clientes como servidores. Afirman que además debería incluirse la función de cortar una comunicación si en una de las partes no está solucionado el problema.

En cualquier caso, se le ha asignado el código CVE-2009-3555 a la vulnerabilidad. Grandes compañías como Sun ya han anunciado que están investigando el impacto que este descubrimiento podría tener en sus productos. OpenSSL ha sacado un parche previo para deshabilitar la renegociación que origina el problema.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Renegotiating TLS
http://extendedsubset.com/Renegotiating_TLS.pdf

Expert calls SSL protocol vulnerability a non issue
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1373678,00.html?track=sy160

(CVE-2009-3555) CVE-2009-3555 TLS: MITM attacks via session renegotiation
https://bugzilla.redhat.com/show_bug.cgi?id=533125

El SSL no está roto... ¿o sí? (I)
http://www.hispasec.com/unaaldia/3775

No hay comentarios:

Publicar un comentario en la entrada