Investigadores advierten sobre FREAK. Una vulnerabilidad en algunos clientes populares de TLS/SSL que permite forzar a los clientes a usar cifrados débiles.
POODLE, HeartBleed y ahora FREAK. TLS/SSL parece no hacer muchos honores a la «S» de sus siglas. Los investigadores de Microsoft Research y French Nationa Institute For Research in Computer Science and Control han publicado un hallazgo que puede significar un impacto significativo en las comunicaciones por Internet.
Se trata de una vulnerabilidad llamada «Factoring Attack on RSA Export Keys», a la cual se le ha asignado el código CVE-2015-0204 , y se basa en una regulación hecha por la administración de Clinton en los años 90 que regulaba la robustez de las llaves de encriptación. Según la regulación, las compañías debían deliberadamente debilitar la complejidad de la llave de cifrado para poder distribuir software o Hardware fuera de los EEUU. Para RSA, esto implicaba una longitud máxima de 512 bits en las claves de encriptación.
En teoría, esta regulación fue diseñada para que la NSA pudiese acceder a las comunicaciones con una especie de «Llave Maestra» dejando las comunicaciones «Supuestamente» seguras para uso comercial, pero no indescifrables para la NSA.
Esto supuso algunos retos técnicos, pues los servidores de EEUU requerían poder negociar comunicación segura con claves fuertes y débiles, por lo que los desarrolladores de SSL idearon un mecanismo de negociación para identificar el mejor sistema de cifrado que soportaran ambos clientes, eligiendo el mas fuerte disponible para ambas partes.
Esta regulación murió hace tiempo ya, pero el mecanismo de negociación sigue presente en la mayoría de los navegadores por cuestiones de compatibilidad. La explotación ocurre cuando un atacante en una posición en la que pueda ejecutar exitosamente un MitM (Man in the Middle u Hombre en el medio) engaña al navegador solicitando una Export RSA Key, la cual el servidor envía firmada con su propia clave a largo plazo. Una vez que el atacante factorice esta clave, podrá recuperar la Master Secret y ver la comunicación en texto plano.
El resumen del funcionamiento es mas o menos el siguiente:
- En el cliente, el mensaje de HELLO solicita un cifrado estándar ‘RSA’.
- El atacante MitM cambia este mensaje para pedir un ‘exportar RSA’.
- Si la tiene, el servidor responde con una clave RSA de 512 bits, firmada con su clave a largo plazo.
- El cliente acepta esta clave débil debido al bug.
- El atacante factoriza el módulo RSA para recuperar la clave RSA de descifrado correspondiente.
- Cuando el cliente de cifra el ‘pre-master secret’ en el servidor, el atacante puede descifrarlo para recuperar los ‘master secret’.
- De aquí en adelante, el atacante ve texto plano y puede inyectar todo lo que quiera.
Para prevenir el ataque, mientras los fabricantes liberan parches, debes cuidarte de las Wifi publicas y evitar las conexiones a sitios no confiables. El centro de investigación ha publicado un test con el que puedes validar si eres vulnerable. Hasta ahora se conoce que Safari y Chrome tanto en sus versiones móviles como de escritorio, son vulnerables.
Fuente: ArsTechnica
