hmm, mitm-attacker går väl fortfarande inte att utföra obemärkt? Det de lyckats med är att skaffa sig ett CA-certifikat, dvs de kan nu skapa andra certifikat som automatiskt validerar i folks webbläsare via deras eget CA cert. De kan alltså skapa ett giltigt certifikat för swedbank2.se som ser ut som certifikatet för swedbank.se men deras certifikat kan inte användas för att sniffa kommunikationen mellan en klient och swedbank.se. Har jag fattat något fel?
@jocke: Nix, men det borde man ju varit så här i efterhand. ;) Får sikta in mig på HAR istället.
@neeke: Det beror på :)
SSL bygger på kedjor av förtroende i certifikaten. I din webbläsare (bl.a.) finns ett antal certifikat som är godkända som root CA. När du skaffar ett SSL-certifikat till din SSL-enablade tjänst (webb, ldap, mail, ..) så signerar något av dessa root CA (eller något annat CA som de signat) ditt certifikat så det får en giltig chain of trust.
När det sedan kommer en besökare till din SSL-enablade webbsajt så får dom ditt certifikat där det bl.a. står hur länge det är giltigt, vilka hostnames det gäller för och vem som signerat det. Besökarens webbläsare gör då en massa kontroller på certifikatet, varav en av dem är att kontrollera att den som signerat ditt certifikat antingen är en betrodd root CA som webbläsaren litar på, eller att den CA som signerat ditt certifikat i sin tur är signerad av en betrodd root CA (eller något som i ytterliggare led är signerat av en betrodd root CA).
Vad de lyckats med är att skapa ett eget CA som verkar vara signerat av en betrodd root CA. Deras CA kan sedan signera vilket certifikat som helst, t.ex. ett som skulle kunna gälla för swedbank.se, hd.se eller whatever. Om någon skulle verifiera äktheten på detta certifikatet så skulle det checka ut OK hela vägen i trust-kedjan.
Om man sen dessutom hijackat folks internettrafik (omstyrning i DNS, BGP eller routrar/brandväggar på vägen, ..) så skulle man kunna reläa trafiken mellan folks datorer och de riktiga sajterna. Någon som exempelvis surfar till https://www.swedbank.se/ skulle alltså ovetandes kunna prata med en elak tredje part och inte med Swedbank's server. Den tredje parten (MITM) skulle då kunna presentera sitt egna certifikat (signerat av den elaka CAn) som utger sig för att vara www.swedbank.se.
Browsern skulle kontrollera trust-chainen, komma fram till att certifikatet i slutändan är signat av en betrodd CA och fortsätta kommunicera med vad den tror är riktiga Swedbank. Den tredje parten kan nu dekryptera och se innehållet i den SSL-skyddade trafiken från besökaren browser och reläa den vidare till Swedbank's riktiga server. Samtidigt, utan besökarens vetskap, kan den passa på att stjäla dina pengar.
Det betyder förstås inte att gubbarna på CCC kan dekryptera all nuvarande och tidigare SSL-trafik, bara att de skulle kunna lura någon att tro att de kommunicerar med en förväntad part (trots att de inte gör det) eftersom de lyckats sätta en bit av certifikatverifieringen på klientsidan ur spel med sin elaka CA.
Känns inte helt oväntat att det är en MD5 svaghet som utgör bristen i SSL/TLS som man valt att utnyttja, det är sen länge känt att MD5 är svagt och dom flesta större CA har redan eller är snart klara med övergången till SHA-1.
IMHO så är svagheterna i DNS-systemet (bl a dom som @noah pekade på) mer akuta att åtgärda.
@noah ah, så är det såklart ja. Undrar hur dagens botnet ställer sig i jämförelse med de 200 ps3:or som användes. Känns inte helt omöjligt att någon skummis där ute skulle ha kapaciteten att koka ihop ett eget CA cert...
9 comments so far
aj!
10 months, 3 weeks ago by jocke
En video av presentationen dyker nog snart upp på http://mirror.informatik.uni-mannheim.de/pub/ccc/streamdump/saal1/ (med "md5 collisions" i namnet).
10 months, 3 weeks ago by noah
underbart (eller vad man nu ska säga) "on a cluster of 200 PlayStation 3’s"
10 months, 3 weeks ago by jocke
Var du i berlin?
10 months, 3 weeks ago by jocke
Ojdå. Intressant!
10 months, 3 weeks ago by jonasl
hmm, mitm-attacker går väl fortfarande inte att utföra obemärkt? Det de lyckats med är att skaffa sig ett CA-certifikat, dvs de kan nu skapa andra certifikat som automatiskt validerar i folks webbläsare via deras eget CA cert. De kan alltså skapa ett giltigt certifikat för swedbank2.se som ser ut som certifikatet för swedbank.se men deras certifikat kan inte användas för att sniffa kommunikationen mellan en klient och swedbank.se. Har jag fattat något fel?
10 months, 3 weeks ago by neeke
@jocke: Nix, men det borde man ju varit så här i efterhand. ;) Får sikta in mig på HAR istället.
@neeke: Det beror på :) SSL bygger på kedjor av förtroende i certifikaten. I din webbläsare (bl.a.) finns ett antal certifikat som är godkända som root CA. När du skaffar ett SSL-certifikat till din SSL-enablade tjänst (webb, ldap, mail, ..) så signerar något av dessa root CA (eller något annat CA som de signat) ditt certifikat så det får en giltig chain of trust.
När det sedan kommer en besökare till din SSL-enablade webbsajt så får dom ditt certifikat där det bl.a. står hur länge det är giltigt, vilka hostnames det gäller för och vem som signerat det. Besökarens webbläsare gör då en massa kontroller på certifikatet, varav en av dem är att kontrollera att den som signerat ditt certifikat antingen är en betrodd root CA som webbläsaren litar på, eller att den CA som signerat ditt certifikat i sin tur är signerad av en betrodd root CA (eller något som i ytterliggare led är signerat av en betrodd root CA).
Vad de lyckats med är att skapa ett eget CA som verkar vara signerat av en betrodd root CA. Deras CA kan sedan signera vilket certifikat som helst, t.ex. ett som skulle kunna gälla för swedbank.se, hd.se eller whatever. Om någon skulle verifiera äktheten på detta certifikatet så skulle det checka ut OK hela vägen i trust-kedjan.
Om man sen dessutom hijackat folks internettrafik (omstyrning i DNS, BGP eller routrar/brandväggar på vägen, ..) så skulle man kunna reläa trafiken mellan folks datorer och de riktiga sajterna. Någon som exempelvis surfar till https://www.swedbank.se/ skulle alltså ovetandes kunna prata med en elak tredje part och inte med Swedbank's server. Den tredje parten (MITM) skulle då kunna presentera sitt egna certifikat (signerat av den elaka CAn) som utger sig för att vara www.swedbank.se.
Browsern skulle kontrollera trust-chainen, komma fram till att certifikatet i slutändan är signat av en betrodd CA och fortsätta kommunicera med vad den tror är riktiga Swedbank. Den tredje parten kan nu dekryptera och se innehållet i den SSL-skyddade trafiken från besökaren browser och reläa den vidare till Swedbank's riktiga server. Samtidigt, utan besökarens vetskap, kan den passa på att stjäla dina pengar.
Det betyder förstås inte att gubbarna på CCC kan dekryptera all nuvarande och tidigare SSL-trafik, bara att de skulle kunna lura någon att tro att de kommunicerar med en förväntad part (trots att de inte gör det) eftersom de lyckats sätta en bit av certifikatverifieringen på klientsidan ur spel med sin elaka CA.
10 months, 3 weeks ago by noah
Spännande! :)
Känns inte helt oväntat att det är en MD5 svaghet som utgör bristen i SSL/TLS som man valt att utnyttja, det är sen länge känt att MD5 är svagt och dom flesta större CA har redan eller är snart klara med övergången till SHA-1.
IMHO så är svagheterna i DNS-systemet (bl a dom som @noah pekade på) mer akuta att åtgärda.
Gott nytt år! :D
10 months, 3 weeks ago by danielchow77
@noah ah, så är det såklart ja. Undrar hur dagens botnet ställer sig i jämförelse med de 200 ps3:or som användes. Känns inte helt omöjligt att någon skummis där ute skulle ha kapaciteten att koka ihop ett eget CA cert...
10 months, 3 weeks ago by neeke