Це СОРМ, дитинко

Ексклюзивні ІТ-новини, огляди та інтерв'ю

Це СОРМ, дитинко. Частина 1

В останні роки відбувається перелом тренду у стратегії атак спецслужб на найважливіший для Інтернету протокол безпеки TLS/SSL. Відтепер пряма криптографічна атака і злом — уже не тільки крайня, але найчастіше не потрібна в рамках сучасного світу міра, де головною рушійною силою стають гроші та фінансовий зиск.

Зважаючи на важливість цієї проблематики в рамках серії з трьох статей, пропоную огляд безпеки стеку протоколів TLS/SSL, паралельно розглянувши послідовні та систематичні стратегії послаблення цих протоколів з боку спецслужб.

можна

Зняті з каналу

Як затравка звернемося до українського прикладу — останнього судового засідання у справі колишнього власника платіжної системи Chronopay Павла Врубльовського, звинуваченого в DDoS-атаці проти «Аерофлоту».

«ЦИБ ФСБ, відповідно до Закону „Про оперативно-розшукову діяльність“ здійснив самостійне знімання інформації з каналів зв'язку зазначених осіб та записав її на DVD-диск».

Справді, згодом сторона захисту змогла переконатися, що необхідне особисте листування було «вилучено з мережі повною мірою та обсягом» всупереч волі Facebook. При цьому самі фігуранти цієї справи заперечували надання слідству своїх паролів і листування, що викриває себе. У Рунеті можна знайти кричущі заголовки новин типу «ФСБ Укаїни зламало сервери Facebook», але не слід забігати з висновками настільки далеко.

По-перше, всі сеанси зв'язку з Facebook здійснюються виключно за захищеним протоколом зв'язку HTTPS. По-друге, з моменту останніх контактів підсудних та даного рішення суду (і, отже, слідчих дій ФСБ щодо виконання цього рішення)пройшло досить багато часу. З якого такого "каналу" можна було "зняти" ці "дані з минулого", якщо самі фігуранти в мережу з того часу не виходили, перебуваючи під слідством?

Ці прямі питання, поставлені на суді до представників ФСБ, вони проігнорували. Найбільш очевидна версія відповіді напрошувалася сама: HTTPS-трафік з даним листуванням був заздалегідь прокиданий/збережений ФСБ і якимось чином згодом зламаний.

Цікаво, що раніше у матеріалах цієї справи зафіксовано майже аналогічний випадок. ЦИБ ФСБ, цитуючи протокол слідства, "шляхом збереження та аналізу трафіку інтернет-підключення одного з обвинувачених відновив логін і пароль від панелі управління ботсети" (фізично розташованої на сервері в США), після чого перехопив віддалений контроль над цим ботнетом. Так ось, доступ до тієї самої веб-панелі здійснювався звинуваченим знову ж таки виключно за зашифрованим HTTPS-з'єднанням з дотриманням запобіжних заходів (наприклад, без збереження паролів на своєму локальному комп'ютері).

Таким чином констатуємо наявність проблем з безпекою HTTPS, наводячи разючі випадки подолання «захисту» TLS/SSL з боку українських спецслужб.

можна

Modus Operandi

Щоб зламати зашифровану HTTPS-сесію, потрібно вирішити дві головні завдання: мати можливість прослуховувати (перехоплювати) трафік, а також зуміти розшифрувати інкапсульовані в такий захищений пакет дані.

Причому силовики отримають прямий доступ до всіх збережених і транзитних масивів даних.

Якщо ж говорити про прослуховування HTTPS-сесій, то відразу зазначимо важливий момент — необхідність «активного режиму» прослуховування в деяких випадках, оскільки збережений трафік не завжди може бути зламаний пізніше. Йдеться про так званий режимпрогресивної секретності (forward secrecy, FS) для протоколу HTTPS, який запобігає можливості відновлення даних після закінчення сеансу зв'язку (навіть якщо згодом зловмисник зможе отримати валідні ключі сайту). Наявність такого режиму зобов'язує зловмисника «кувати залізо поки що воно гаряче» — тобто зламувати дані в режимі реального часу, що в переважній більшості випадків навряд чи технічно можливо.

дитинко

Тобто, в переважній більшості випадків зловмисник може спокійно зберігати ваш HTTPS-трафік для його подальшого колупання та злому (наприклад, коли стане відомий приватний серверний ключ).

дитинко

Вище показаний вимір падіння продуктивності на 6-ядерному процесорі веб-сервера з увімкненим і відповідно вимкненим режимом DHE. DHE обраний як найпопулярніший та зразковий приклад реалізації Perfect Forward Secrecy. Наприклад, компанія Google, сервіси якої підтримують практично всі крипто-інновації та засоби захисту своїх користувачів (це яскравий виняток із загальної інтернет-практики), реалізує недовговічні (ефемерні) сеансові ключі PFS якраз на базі ECDHE_RSA. І це дуже, дуже дороге задоволення, повірте!

Враховуючи це зауваження, вважатимемо, що з перехопленням трафіку все більш-менш ясно. Тепер розглянемо, що робити далі із збереженим шифрованим потоком.

Звісно ж, загальний алгоритм у цьому випадку виглядатиме приблизно так: при перехопленні трафіку HTTPS-сесії, що цікавить гіпотетичними спецслужбами, їх інформаційна система отримує запит пошуку відповідного серверного ключа до своєї бази даних. Якщо такий ключ не знайдено, він ставиться у чергу на подальше обчислення (злом). З урахуванням зауваження щодо фактичної недоступності опції FS,трафік, що цікавить, завжди є сенс мовчки накопичувати (записувати), не чекаючи реакції системи про готовність/доступність ключа для дешифрування в режимі реального часу.

дитинко

У наведеному документі йшлося про безумовну вимогу надати у розпорядженні федералів доступ до закритих ключів SSL/TLS цих популярних веб-ресурсів (SSL/TLS master encryption keys), видати бази даних з хешами паролів усіх користувачів, а також розписати застосовувані алгоритми та методи. .

дитинко

Проект BULLRUN — офіційний кошторис витрат АНБ на «розмиття міцності» криптографічних стандартів, специфікацій та їх реалізацій

У каламутній водиці чорти водяться

Звісно, ​​далеко не всі світові веб-проекти добровільно роздають серверні ключі спецслужбам. Хоча б тому, що інтернет — це наднаціональна освіта, яка лежить в юрисдикції багатьох держав одразу.

Як найбільш яскравий приклад з низки подібних інцидентів можна навести нещодавнє повідомлення агентства Reuters, яке наводить документальні факти того, що широко відома криптографічна компанія RSA Security протягом кількох років співпрацювала з АНБ. Відповідно до їх двостороннього контракту, у криптографічних продуктах RSA перевага мала віддаватися алгоритму генератора псевдовипадкових чисел (ГПСЧ) Dual EC DRBG. Як тепер відомо, останній — не лише містить приховану вразливість, а й став найпопулярнішим у світі ДПСЛ.

Повертаючись до українських крипто-стандартів, зауважимо, що згідно з ГОСТ 28147-89 таблиці замін разом із сертифікацією пристрою\програми видає безпосередньо ФСБ РФ. Вочевидь, що з якості генерації такий таблиці критично залежить загальна стійкість шифрування. На виході виходить така собі «держава-залежна криптографія».

Цікаво, що та частина фактів, які можна перевірити, підтвердилася. Тоді OpenBSD затіяв грандіозний аудит коду IPSec, результати якого так і не були оприлюднені повною мірою, а історія поступово затихла. Додамо, що глава проекту OpenBSD писав, що ця проблема стосується не тільки OpenBSD:

«Оскільки ми були першими, хто зробив вільно доступну реалізацію стеку IPSec, великі фрагменти коду звідти були згодом включені до багатьох інших проектів та сторонніх продуктів, тому розібратися в масштабності цієї загрози зараз дуже складно».

Роком раніше дуже схожа історія трапилася з OpenSSL вже в рамках проекту Debian, де виявили (аналогічний описаному вище) математичний дефект у генераторі псевдовипадкових чисел. У зв'язку з цими двома випадками хочеться процитувати думку відомого вітчизняного юніксоїда Олексія Тутубаліна:

«У черговий раз витираю ноги об міф, що відкритість вихідних джерел — це шлях до надійності. Цій помилці в Debian OpenSSL було майже два роки».

Справді, закрити цю вразливість вдалося лише після зчиненого шуму в пресі. Сам же проект Debian назвав ситуацію з давнім багом у своєму репозиторії OpenSSL «досить дивною історією».

Таке втручання у процес поставок у своїх цілях, яке позначається спецтерміном «інтердикція», оцінювався самої АНБ як один із «найефективніших видів сучасних операцій».

АНБ США впроваджує "жучки" в роутери та сервери, поки вони їдуть до покупців: АНБ отримує та перехоплює сервери та. http://t.co/3urByYTHtO — ITNews.PRO (@ITNewsPRO) 13 травня 2014

За інформацією Spiegel, найбільш бажаним (пріоритетним) для інтердикції обладнанням було якраз спеціалізованекриптообладнання, тобто різні апаратні прискорювачі та акселератори для створення, у тому числі, безпечних TLS/SSL/IPSec-каналів на їх основі для урядових, військових і комерційних потреб.

Таким чином, узагальнюючи за незліченною кількістю непрямих фактів комплексну програму «підкорення HTTPS», можна виділити такі вектори:

  1. Створення глобальних урядових баз даних із валідних майстер-ключів для популярних інтернет-проектів.
  2. Розробка та популяризація навмисно ослаблених алгоритмів та специфікацій, які набувають широкого ходіння та застосування.
  3. Створення «закладок» їх впровадження у вільні/пропріетарні, як програмні, і апаратні продукти.
  4. Активний пошук, виявлення та експлуатація вже існуючих уразливостей.
  5. "Чесний брутфорс" приватних ключів за допомогою спеціалізованого високопродуктивного апаратного обладнання.

Більш конкретно про найважливіші напрямки цього списку-плану поговоримо в наступних частинах статті. Звичайно, подібна комплексна робота найчастіше ініціюється насамперед різними державами та їх спецслужбами.

Сноуден поїхав, але справа його живе

Приблизно рік тому проект factorable.net завершив власний громадський моніторинг транзитного інтернет-трафіку (для чого використовувалися сканери ZMap та nmap), де «в диких умовах» спостерігалися всі SSL/TLS та SSH-з'єднання тисяч випадкових хостів один з одним.

Ось його основні висновки:

  • Приблизно 6% TLS-з'єднань та 7% SSH-з'єднань використовували небезпечний механізм обміну своїми публічними ключами, викликаний головним чином недостатньою рандомізацією при генерації ключів (або вихідних дефолтних ключів).
  • В силуцього даному аматорському проекту вдалося віддалено отримати приватні ключі RSA для майже 1% TLS-з'єднань і для 0.03% SSH-з'єднань в повністю пасивному режимі.
  • Проект зміг дистанційно отримати приватні ключі DSA для більше 1% всіх SSH-з'єднань з цих же причин.
  • Наголошується, що відсоток слабозахищеного трафіку суттєво більший за вказаний, адже вище наведено лише цифри, за якими проект мав готові методики атак. Якщо ж говорити про потенційно небезпечні частки, можна стверджувати, що під ударом знаходиться 6-7% від усіх HTTPS-з'єднань і понад 10% від усіх SSH-підключень у світі.

Резюмуючи, для великої кількості TLS-ключів виявлено, що вони мають спільні прості множники, тобто їхня факторизація помітно (підозріло) спрощена. Додатково відзначимо, що серверні ключі зазвичай існують у постійному вигляді роками.

Тому, дивлячись на ці статистичні дані, з великим ступенем ймовірності можна припустити, що як мінімум третина захищеного трафіку у світі згенеровано криптографічними засобами з (відомо?) ослабленим ГПСЧ.

можна

Далі буде

У наступних публікаціях ми розглянемо реальні випадки-приклади підкупу та ефективної компрометації механізмів та інститутів сертифікації, що зводить технічний сенс захисту SSL/TLS практично нанівець, а також приділимо увагу суто технічним способам атаки на SSL/TLS в лоб.

А як тоді краще в адмінку ботнета заходити, щоби не спалили, можете щось порадити?

Поки можна обертати своє з'єднання до VPN-каналу із західного сервера, цим з великим ступенем ймовірності убезпечишся від пасивного сніфінгу на території своєї країни. А взагалі – суть статті, що нині абсолютних засобів захисту просто немає, якщо дуже захочуть- дістануть скрізь. Але твоє право - максимально всю цю справу ускладнити.

А взагалі, якщо боїшся таких речей - краще не займатися фігнею, а ходити на роботу на завод, наприклад. Тоді ти точно будеш нікому, крім місцевих гопників, не потрібен.

А загалом, нагадує "Нейромант" Гібсона, весело.