Das SSL Dilemma. POODLE, FREAK, Heartbleed, compromissed CA, broken revocation, and a lot more ...

1. Das SSL-Dilemma
Security Forum 2015 – 22. April
Christopher Dreher
cirosec GmbH

2. 2

3. Disclaimer
3
Security Forum 2014
https://www.securityforum.at/wp-content/uploads/2014/05/SF14_Slides_Koenig.pdf

4. Agenda
4
 Verschlüsselung im WWW
 SSL/TLS, was läuft falsch?
– Designschwächen
– Implementierungsfehler
 Vertrauen in Zertifikatsstellen
 Das Revocation-Problem
 Fehlkonfigurationen erkennen und fixen
 Ausblick

5. Verschlüsselung im WWW

6. Von damals bis heute
6
 HTTPS wurde von Netscape entwickelt und zusammen
mit SSLv1 erstmals 1994 erwähnt
 Kipp Hickman von Netscape veröffentlichte SSLv2 als
IETF Draft in 1995
The SSL Protocol is designed to
provide privacy between two
communicating applications
(a client and a server).
Second, the protocol is designed
to authenticate the server, and
optionally the client. [...]
Quelle: Wikipedia

7. Von damals bis heute
7
 SSLv2 gilt seit Ende 1996 als gebrochen
– Aktiver Man-in-the-Middle-Angriff erlaubt die komplette
Kompromittierung der Vertraulichkeit und Integrität der
gesicherten Übertragen (http://osvdb.org/56387)
 SSLv3 wird wiederum von drei Wissenschaftlern bei
Netscape erarbeitet und 1996 veröffentlicht
 1999 wird SSL zu TLS umbenannt, jedoch minimale
Änderung der Spezifikation zu SSLv3 (SSLv3.1->TLS 1.0)

8. SSL und/oder TLS
8
 2000 – 2006 erfolgt eine Vielzahl wissenschaftlicher
Angriffe gegen SSLv3 und TLS 1.0
– Padding-Oracle-Angriff gegen Padding der Block Cipher (2002 Vaudenay
„Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS...“)
– Timing-Attacke (2003 Brumley u. Boneh „Remote timing attacks are practical“)
– Chosen-Plaintext-Attacke: IV ist vorhersagbar (2006 Bard)
 TLS 1.1 wird 2006 als Standard veröffentlicht (RFC4346)
– Entfernung der Export Ciphers (40 Bit)
 Bereits 2008 wird die finale Version von TLS 1.2
als Ablösung von TLS 1.1 veröffentlicht (RFC5246)

9. SSL und TLS im Web 2015
9
Quelle: Universal-Pictures

10. SSL und TLS im Web 2015
10
Quelle: https://www.trustworthyinternet.org/ssl-pulse/

11. SSL und/oder TLS
11
TLS
Browser
#*+x!3@f_
TLS
Webserver
Daten werden
verschlüsselt übertragen
Server beweist seine
Identität durch Zertifikat

12. Designschwächen in SSL / TLS

13. Designschwächen in SSL / TLS
16
 Probleme basieren nicht auf den einzelnen
Implementierungen von SSL (OpenSSL, LibreSSL,
MatrixSSL, PolarSSL, GnuTLS usw.)
 Lässt sich in der Regel nicht durch die Entwickler
beheben, sondern bedarf
– Anpassung und Änderung des Protokolls (Versionsupdate)
– Workaround durch Deaktivierung betroffener Cipher Suites

14. POODLE: SSLv3 vulnerability
(CVE-2014-3566)
24
 Padding Oracle On Downgraded Legacy Encryption
 Angreifer muss einen passiven Man-in-the-Middle-Angriff
durchführen (Sniffing) und innerhalb des Opfer-Browsers
256 x n (n-Byte langes Cookie) Anfragen abschicken
können
 https://www.openssl.org/~bodo/ssl-poodle.pdf

15. POODLE: SSLv3 vulnerability
(CVE-2014-3566)
 Keine bekannte Ausnutzung in the wild
– Wahrscheinlicher im Gegensatz zu BEAST, BREACH oder CRIME
 Empfehlung: Deaktivierung von SSLv3
Verwundbare SSL/TLS-Versionen
TLS 1.2 -
TLS 1.1 -
TLS 1.0 -
SSL 3.0 JA
SSL 2.0 JA
25

16. POODLE: SSLv3 vulnerability
(CVE-2014-3566)
26
Quelle: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html

17. SSLv3 Downgrade
27
Quelle: http://news.netcraft.com/archives/2014/10/15/googles-poodle-affects-oodles.html

18. FREAK: < TLS 1.1 vulnerability
28
 Factoring RSA Export Keys
 Angreifer muss einen aktiven Man-in-the-Middle-Angriff
durchführen und verlangt vom Server die Verwendung
von EXPORT Cipher Suites
 Faktorisierung von 512bit RSA-Schlüsseln kostet ca. 100$
Amazon EC2-Rechenzeit und dauert weniger als 8
Stunden
 https://www.smacktls.com/

19. FREAK: < TLS 1.1 vulnerability
 Empfehlung: Deaktivierung von TLS 1.0 und kleiner
Verwundbare SSL/TLS-Versionen
TLS 1.2 -
TLS 1.1 -
TLS 1.0 JA
SSL 3.0 JA
SSL 2.0 JA
29
Quelle: https://freakattack.com/
HTTPS serves of Alexa‘s Top 1 Million Domains

20. Implementierungsfehler in SSL / TLS

21. Implementierungsfehler in SSL / TLS
31
 Fehler erzeugt durch einzelne Entwickler / Teams
innerhalb einer Bibliothek
 Fehlerhafte Qualitätssicherung des Codes
 Typische Softwareschwachstellen
– Buffer Overflows
– Control Flow Manipulation

22. Heartbleed (CVE-2014-0160)
32
 Heartbeat-Nachrichten dienen der Sicherstellung einer
intakten Kommunikationsverbindung über UDP
 Fehlerhafte Überprüfung der Längenangabe der
Heartbeat-Anfrage
 Heartbeat-Antwort liefert die empfangene Nachricht
zurück und mehr (max. 64 kB)
– Auslesen zufälliger Werte, die zum aktuellen Zeitpunkt in dem
dynamischen Prozessspeichers des Webserver-Prozesses liegen
 http://heartbleed.com/ Verwundbare OpenSSL-Versionen
OpenSSL 1.0.1 bis 1.0.1f
OpenSSL 1.0.2-beta bis 1.0.2-beta1

23. Heartbleed (CVE-2014-0160)
35
„A HeartbeatRequest message can arrive almost
at any time during the lifetime of a connection.
Whenever a HeartbeatRequest message is
received, it SHOULD be answered with a
corresponding HeartbeatResponse message.“
https://tools.ietf.org/html/rfc6520

24. Vertrauen in Zertifikatsstellen

25. Authentisierung / Identifizierung bei
TLS
38
 Woher weiß der Browser, dass der angefragte Server
legitim ist?
 Server-Zertifikate sind wie Ausweisdokumente
– Der Aussteller der Zertifikate ist vergleichbar mit
einer nationalen Passbehörde

26. Vertrauenswürdige CAs in Browsern
39
 Keine zentrale Datenbank
 Internet Explorer / M$ CTL
 Mozilla Firefox
 iOS / Android
 Insgesamt über 650 CAs
inklusive Sub-CAs
Quelle: https://www.eff.org/observatory

27. Beispiel: Aufbrechen der Verschlüsselung
40
TLS-Verbindung 1 TLS-Verbindung 2
WebserverAngreiferBrowser
Echtes ZertifikatGefälschtes Zertifikat

28. Beispiel: Aufbrechen der Verschlüsselung
41
 Gefälschtes Zertifikat ist nicht gültig
 Ist das ein Problem?

29. You Won’t Be Needing These Any More
42
 Untersuchung von ca. 48 Mio. HTTPS-Seiten ergab:
– Über 140 CA-Zertifikate in den unterschiedlichen Truststores
werden nicht verwendet (Geheimdienste lassen grüßen)
– Von insgesamt 426 CA-Zertifikaten werden nur 2/3 benutzt
 Welche CAs werden für .de-Domains gebraucht?
 http://fc14.ifca.ai/papers/fc14_submission_100.pdf

30. DigiNotar Hack
43
 Analyse-Bericht Fox-IT:
http://www.rijksoverheid.nl/bestanden/documenten-en-
publicaties/rapporten/2012/08/13/black-tulip-update/black-tulip-update.pdf
Quelle: Heise

31. Türktrust-Versagen
44
Quelle: Heise

32. Exkurs Zertifikate
46
Quelle: https://www.certcenter.de/ssl-guide
Domain Validation
- Verschlüsselung
- Validierung der
Domain-Kontrolle
- Vorhängeschloss im
Browser
- Ausstellung in
wenigen Minuten
Organization Validation
- Authentifizierung des
Unternehmens
- Nachweis des Rechts zur
Domainnutzung
- Unternehmensinfo im
Zertifikat
- Ausstellung in 1-2 Tagen
Extended Validation
- Strikte
Industriestandard-
Authentifizierung für
Unternehmen
- Für Unternehmen
vorteilhafte grüne
Adressleiste im Browser
- Ausstellung in 7-10
Tagen

33. Exkurs Zertifikate
47
DV- oder OV-Zertifikate
EV-Zertifikate

34. Und 2015 …
48

35. 49

36. <undisclosed CA>
50

37. <undisclosed CA>
51

38. <undisclosed CA>
52

39. <undisclosed CA>
53

40. Beispiel: Man-in-the-Middle-Angriff
Browser
Angreifer mit
gültigem Server-
Zertifikat
Webserver
Führt DNS-Spoofing durch,
kann dadurch Datenverkehr
mitlesen sowie verändern
54

41. Ganz Aktuell …
55

42. Das Revocation-Problem

43. Lebenszyklus von Zertifikaten
57
 Zertifikatsantrag: Ein Benutzer beantragt ein Zertifikat.
 Antragsprüfung: Die Registration Authority (RA) prüft die
Identität des Benutzers/Antragstellers.
 Generierung/Ausstellung der Zertifikate: Die Certificate
Authority (CA) stellt das Zertifikat aus. Dieses Zertifikat
enthält Angaben zu Inhaber, Herausgeber, erlaubter
Nutzung und Lebensdauer (gültig von und gültig bis)
 Revokation/Ungültigkeit: Das Zertifikat wird vor dem
Verfall revoziert bzw. für ungültig erklärt.
 Zertifikats-Laufzeitende: Die Lebensdauer des Zertifikats
ist abgelaufen.
 Zertifikats-Renewal: Erneuerung des Zertifikats.

44. Widerrufen von Zertifikaten
58
 Welche Möglichkeiten gibt es, um ein Zertifikat zu
widerrufen?
Quelle: Cartoonstock.com
Quelle: stern.de

45. CRL-Listen
59
 Jede CA hat die Möglichkeit, Sperrlisten
(Certificate-Revocation-Listen) zu publizieren

46. CRL-Listen
60

47. CRL-Listen
61
Quelle: https://isc.sans.edu/crls.html
Zitat: https://blog.cloudflare.com/the-hard-costs-of-heartbleed/

48. CRL-Listen
62
 Werden vom Webbrowser in regelmäßigen Abständen
abgerufen
 Blacklist-Ansatz
 Soft-Fail bei allen Browsern
– Wenn keine CRL bezogen werden konnte,
gelten alle Zertifikate als gültig
– Angreifer auf der Netzwerkebene kann Empfang einer aktuellen
CRL einfach unterbinden

49. OCSP
63
 Online Certificate Status Protocol
 Netzwerkprotokoll auf Basis von HTTP
 Clients (Webbrowser) können dadurch den Status von
Zertifikaten bei der CA erfragen
 OCSP-Antworten sind digital von der CA signiert
Web
Browser
Web
Server
OCSP
Server
Fetch One
OCSP Status
Fetch
Certificate

50. OCSP
64
 Vor dem Aufruf einer HTTPS-Webseite wird eine Anfrage
vom Browser an den OCSP-Responder der CA gestellt
OCSP-
Anfrage
Status
good
Browser
ruft
Seite auf
OCSP-
Anfrage
Status
revoked
Browser
verweigert
Aufruf

51. OCSP
65
 Was passiert, wenn der OCSP-Responder nicht antwortet?
OCSP-
Anfrage
???
Browser
ruft
Seite auf
Browser
ruft
Seite auf
Quelle: https://sirdoomsbadcompany.wordpress.com

52. OCSP
66
 OCSP bietet im Gegensatz zu CRLs folgende Vorteile:
– Sekundengenaue Datenbasis
– CA kann Zertifikat als bad markieren, wenn verwendete Schlüssel-
Algorithmen/-Längen oder Signaturverfahren als nicht mehr sicher
gelten
 Außer Firefox bietet kein Browser den Hard-Fail an
– OCSP-Responder werden als Flaschenhals des WWWs angesehen
– Gefährdung der Privatsphären

53. Revocation-Wirrwarr
67
 Behandlung von widerrufenen Zertifikaten obliegt den
Browsern
 Reicht vom Nichtbeachten des Widerruf-Status bis hin
zum Verweigern des Verbindungsaufbaus
 Umfassende Analyse von IE, Firefox, Chrome unter
Windows sowie unter iOS/Android
(https://www.grc.com/revocation)

54. Revocation, wenn es klappt …
68

55. OCSP Hard-Fail
69

56. Fehlkonfigurationen erkennen und fixen

57. Fehlkonfiguration erkennen
71
 Veraltete/unsichere Protokollversionen
 Unsichere Cipher Suites
 Veraltete SSL/TLS-Implementierungen
 Abgelaufene Zertifikate
 Unvollständige Zertifikatskette
 Unsichere Zertifikatssignatur
 Fehlerhafter CommonName

58. Fehlermeldung durch falschen
Hostnamen
72

59. Fehlermeldung durch falschen
Hostnamen
74

60. Abgelaufene Zertifikate
75
Quelle: http://arstechnica.com/information-technology/2015/04/google-let-root-
certificate-for-gmail-expire-causing-e-mail-hiccups/

61. Fehleranalyse offline
76
 testssl.sh (https://testssl.sh/)
 SSLyze (https://github.com/nabla-c0d3/sslyze)
 SSLMap (https://github.com/iphelix/sslmap)
 OWASP O-Saft (https://www.owasp.org/index.php/O-
Saft)
 TestSSLServer (http://www.bolet.org/TestSSLServer/)
 nmap, Nessus, OpenVAS, …

62. testssl.sh
77

63. Fehleranalyse online
79

64. 82

65. Hilfe bei der Serverkonfiguration
84

66. Hilfe bei der Serverkonfiguration
85

67. Welche Algorithmen sind zu wählen?
86
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/T
echnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf

68. Wichtige Server-Header
 HSTS (HTTP Strict Transport Security)
– Signalisiert dem Browser, dass alle zukünftigen Anfragen
ausschließlich über HTTPS erfolgen dürfen
– Verhindert anschließende SSL-Stripping-Attacken
87

69. Ausblick

70. Wichtige Server-Header
 HPKP (HTTP Public Key Pinning)
– Pinning des Zertifikats der CA und/oder Domain (CN)
– https://github.com/hannob/hpkp
– https://tools.ietf.org/html/rfc7469
– https://developer.mozilla.org/en-
US/docs/Web/Security/Public_Key_Pinning
89

71. OCSP Stapling
90
 OCSP-Anfragen werden vom Browser an den Server
verlagert
 Webserver liefert zusammen mit dem Zertifikat eine
aktuelle und von der CA signierte OCSP-Antwort aus
Web
Browser
Web
Server
OCSP
Server
Fetch One
OCSP Status
Fetch
Certificate
& OCSP

72. OCSP Stapling
91
 Vorteile:
– Auslastung der OCSP-Responder hält sich in Grenzen
– Keine Verletzung der Privatsphäre
– Keine Verzögerung beim Browsen
 Unterstützung der Webserver:
– Apache ab Version 2.3.3
– nginx ab Version 1.3.7
– LiteSpeed ab Version 4.2.4
http://news.netcraft.com/archives/2013/07/19/microsoft
-achieves-world-domination-in-ocsp-stapling.html

73. OCSP must-staple
92
 OCSP Stapling hat folgendes Problem:
– Wird ein Serverzertifikat gestohlen (privater Schlüssel), so kann
der Angreifer dieses für gezielte Man-in-the-Middle-Angriffe
nutzen, indem er einfach bei seinem Server das OCSP Stapling
deaktiviert und dem Opfer den Revocation-Status der CA
verschweigt.
 X.509v3 Extension: OCSP Stapling Required
 http://tools.ietf.org/html/draft-hallambaker-
muststaple-00

74. 2015 … 2016 … 2017
93

75. 94