Проверка протокола SSL3 в 20 банк-клиентах

    image

    Прошло уже более недели, как достоянием общественности стала критичная уязвимость протокола SSL3 (CVE-2014-3566). Давайте посмотрим, как отреагировали на эту новость TOP 20 банков.
    Для тестирования HTTPS воспользуемся замечательным инструментом www.ssllabs.com
    Начнем с чего нибудь большого и зеленого.

    Первый результат сразу очень показательный:

    This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.
    This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.

    Комментарии излишни (хотя, справедливости ради надо сказать, что еще 22.10.2014 вечером рейтинг был C.

    Ну, хорошо, давайте посмотрим на кого-нибудь, допустим, синего из трех букв и двух цифр:

    This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C.

    Думаю, не стоит дальше повторяться и дам статистику по 20 банкам:

    У трех банков SSL3 отключен, у двух банков частично (у физиков отключен, у юр.лиц включен).

    В 15 банках SSL3 НЕ отключили.

    Минимум два банк-клиента работают ТОЛЬКО через SSL3!

    У четырех банков рейтинг безопасности F.

    И на скрине, так сказать, Epic F.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 72

      +4
      Отключить со стороны сервера ssl3 легко, но это только вершина айсберга. Очень много софта теперь надо переписать (а это в сжатые сроки просто невозможно).
      Вот весьма показательный вопрос на stackoverflow: stackoverflow.com/questions/26389899/how-do-i-disable-ssl-fallback-and-use-only-tls-for-outbound-connections-in-net а сколько банков сидит на старом .net?
      Кроме того, само наличие ssl3 не является достаточным условием для проведения атаки, это не heartbleed, где нужен только сервер с уязвимой версией openssl. С таким же успехом можно раскрутить до критической уязвимости раздачу клиент-банков через FTP банка — при наличии MITM злоумышленник может на ходу подменить бинарник, клиент его установит себе в систему и при этом эта «уязвимость» в FTP никак не фиксится «by design».
        +3
        А что бинарник не подписан? Тогда это, безусловно, критическая уязвимость.
        • UFO just landed and posted this here
            +4
            Расскажите подробнее
            • UFO just landed and posted this here
                +3
                Парни с краклаба сломали RSA, SHA и всю современную асимметричную криптографию? АНБ в панике, наверное. Или банк там CRC суммой «подписывал»? :)
                • UFO just landed and posted this here
                    +1
                    Там примерные сроки прямого подбора как возраст Вселенной.
                    • UFO just landed and posted this here
                      • UFO just landed and posted this here
                        • UFO just landed and posted this here
                            +2
                            Вы тут так уверенно чушь порете, что даже интересно — из какой «левой пятки» вы все эти числа вытаскиваете? Вы, случаем, не путаете прямые атаки и коллизионные?
                            • UFO just landed and posted this here
                                +1
                                Oops. Прошу прощения и посыпаю голову пеплом — не обратил внимание на то, что в русской Википедии, по традиции, чушь написана (традиция русской Википедии: вначале туда нормальный человек приходит и описывает всё как есть, потом приходит идиот-редактор и под лозугом стилевые правки, пунктуация меняет правильное описание на чушь собачью). Правильное описание по прежнему есть в английской. Там подробно объясняется почему MD5 и SHA1 не рекомендуется использовать для подписи сертификатов и становится ясно почему так просто подделать их по прежнему нельзя.
                                  0
                                  Простите, но что вы к этим стилевым правкам прицепились? Там исходно был бред — и редактор вполне корректно поправил его.
                        • UFO just landed and posted this here
                          • UFO just landed and posted this here
                              +1
                              MD5 давно и надёжно сломана в смысле приёма сертификатов от сторонних лиц: тебе могут прислать на сертификацию один файл, а всем остальным раздавать другой. Тут даже никаких ASICов не нужно, простой компьютер справится. А вот если ты сам хочешь что-то подписывать и раздавать — то тут до сих пор атаковать никак не получится. Недаром тот же stuxnet пользовался ворованными ключами, а не поддельной подписью…
                              • UFO just landed and posted this here
                                  +1
                                  Да давно уже было:
                                  Our attack can be done in an average of about 1 minute (avg. complexity 232.3) on a 3Ghz Pentium4 for these random recommended initial values. For arbitrary random initial values the average is about 5 minutes (avg. complexity 234.1). With a reasonable probability a collision is found within mere seconds, allowing for instance an attack during the execution of a protocol.

                                  Если ваша атака требует только коллизий — то MD5 дохлый номер и SHA1 уже на подходе. Если вам нужно напрямую «пробить» подпись, то тут даже уже всеми забытый MD4 ещё не так плох.
                                  • UFO just landed and posted this here
                                      +1
                                      Насколько я понял вашу ссылку, там подбирается коллизия на MD5 от сообщения, которое укладывается только в два блока.
                                      Угу. То почти то, что требуется для того, чтобы прислать на сертификацию один файл, а всем остальным раздавать другой. Через пару лет атаку доработали и даже продемонстрировали на практике.

                                      Нам нужно exe-файл подписать, насколько я понял выше из комментариев, о чём именно спор.
                                      exe-файл больше двух блоков хеширования и требует, чтобы при том же MD5 был бы другой exe-файл.
                                      То есть нужно найти корректный exe-файл с той же суммой MD5.
                                      А это — другое. Это то, что по-научному называется атака нахождения второго прообраза, а я назвал «напрямую пробить подпись» (ну вылетело из головы название — бывает). Изначально топикстартер, как выяснилось, считал что это более-менее одинаковые задачи, но вроде как с этим разобрались.
                                  0
                                  А вот если ты сам хочешь что-то подписывать и раздавать — то тут до сих пор атаковать никак не получится.

                                  Это разве не оно?

                                  http://www.win.tue.nl/hashclash/rogue-ca/
                                  https://en.wikipedia.org/wiki/Flame_(malware)
                                • UFO just landed and posted this here
                                    +1
                                    Ну битов то конечное количество в компьютере, так что безусловно за конечное время можно всё подобрать. Вопрос только за какое.
                                    • UFO just landed and posted this here
                                        +1
                                        А ещё более жалкой ссылки у вас нет? Там прямо первое слово в названии статьи «коллизии». Это уже даже не смешно, чесслово.
                                        • UFO just landed and posted this here
                                            +3
                                            Послушайте — я вам ничего не навязываю.
                                            Вы именно что навязываете. И очень агррессивно. С этих ваших слов всё началось: Берется подписанный нужным вендором ехе. Заменяется его контент нашим ехе. У любого человека, который что-то понимает в криптоанализе тут же начинает звенеть колокольчик в мозгу примерно со совами «так, атака нахождения второго прообраза (или прямо даже первого?)… вау… чушь-бред-маразм или… может быть… прорыв?.. послушаем». Дальше вы начинаете «доказывать» вашу точку зрения бесконечными ссылками на коллизионные атаки и чем дальше в лес, тем всё больше становится разочарование. Нет, всё-таки не прорыв, а чушь… но может быть всё-таки атака была неверно описана… нет, всё верно… атака нахождения прообраза однозначно… ну как можно рассуждать о безопасности не понимая разницу между такими базовыми понятиями… ну как?

                                            Нахождение прообраза и создание коллизий — это задачи, грубо говоря, из разных вселенный. Они даже близко непохожи. Как вы умудряетесь их путать — мне просто не понять. Впрочем после стилевых, с позволения сказать, правок в русской Википедии удивляться не приходится.
                                            • UFO just landed and posted this here
                                                +4
                                                Не так. Они сделали два сертификата. Один — совершенно безобидный, не дающий им никаких прав сертификат для какого-то богом забытого сайта. Другой — «сертификат бога» с правом выпуска дальнейших сертификатов для других сайтов. Первый — подписали в RapidSSL, второй — использовали для атаки.

                                                Коллизионная атака всегда начинается с одновременного создания двух документов. В одном — написано, грубо говоря «Казнить нельзя, помиловать». В другом «Казнить, нельзя помиловать». Оба документа имеют одинаковую контрольную сумму, но рассылаются разным людям. Грубо говоря «Царь всея руси» видит подробный рассказ про то, какой «Вася Пупкин» хороший мальчик, умиляется, ставит подпись, а на самом деле эта подпись валидна и для другого документа, в соответствии с которым палач этому «Васе» оттяпает голову.

                                                А вот если бумага с подписью у вас есть и менять её «перед подачей царю» вы не можете — то это атака нахождения второго прообраза. Если есть только подпись царя — это атака нахождения первого прообраза. И обе эти задачи — в квинтиллионы раз сложнее, чем задача нахождения коллизий! Задачи просто из совсем другой вселенной!

                                                Возможность создания коллизий — это тоже страшно (см. выше про царя), но это сильно менее страшная (и сильно менее затратная) вещь, чем задача подделки уже готовой подписи для уже готового файла.
                                                • UFO just landed and posted this here
                                                    +1
                                                    Угу. Собственно потому и реакция на это дело была такой, какой она была: новые сертификаты с использованием MD5 выдавать все сразу и резко перестали. Но старые отзывать не стали (за исключением, понятно, тех, про которые стало известно, что они использовались для атак). Думаю что MD5 «до конца» доломают примерно как раз к тому времени когда эти сертификаты «естественным путём» истекут.
                                      +1
                                      Давайте не мешать божий дар с яичницей, да? Для того, чтобы получить подпись Microsoft'а нужно всего-навсего устроить хеш-коллизию. Flame так подписан был. Но вы-то говорите не том, чтобы получить поддельную подпись, а том, чтобы сделать другой файл под уже существующую подпись. Задачи даже близко непохожие.
                                      • UFO just landed and posted this here
                                          +1
                                          Это просто +100.

                                          Я не пишу про получение поддельной подписи!!!
                                          Серьёзно?

                                          Я пишу про точто берем готовый блок байт содержащий данные о подписи из готового файла который подписала сама майкрософт и прикрепляем к своему файлу который создан так что хеш сумма совпадает с тем что было у файла майкрософт
                                          То есть вы предлагаете провести атаку нахождения первого прообраза. Чисто для справки: эту атаку за разумное время не умеют проводить даже для MD4 (не говоря уже о более безопасных MD5 и SHA1).

                                          Ну да — по сути добиваемся колиззии хеш функции
                                          Я «плакаль»™. Вы что, действительно, не видите отличий вашей, с позволения сказать, атаки, от нахождения коллизий (основную часть статьи редакторы так и не смогли испортить, к счастью)?

                                          Сорри за корявый русский — передаю мысли как умею.
                                          Если бы ваша беда была только лишь «в корявом русском».
                                          • UFO just landed and posted this here
                                              +1
                                              Так точно. Даже для MD4 это проблематично (хотя на суперкомпьютере, может быть) и возможно. Для MD5 и SHA1? Без шансов.

                                              Как бы об этом попроще рассказать. Попробую описать образно (только потом не ссылайтесь на это как на строгое математическое описание, это всё-таки упрощение).

                                              Когда вы считаете MD5 сумму (или SHA1 сумму), то, грубо говоря, вы «замешиваете» все биты файла и получаете такую как бы «выжимку». Добавление каждого бита у вас резко «перемешивает» всю вашу 128битную (160тиную, 256битную, 512битную) контрольную сумму. И чтобы подогнать результате под ответ вам нужно перебрать почти 2128 (2160, 2256, 2512, etc) вариантов.

                                              Но что будет если вы сможете менять сразу два файла (с целью получить одинаковый результат)? О, тут у вас появляется масса возможностей. Из-за парадокс дней рождения у вас появляется потенциал резко сократить перебор — в идеале до 264 (2128, 2128, 2256, etc). А то и меньше. Грубо говоря вы не можете влиять на результат, но если вы можете влиять на какие-то свойства резлуьтата (ну, допустим, на соотношение количества ноликов и единичек в первой и второй половине хеша), то имея возможность подкрутить оба входных значения вы можете сильно сократить перебор. Иногда можно вообще найти такие «хорошие» входные данные на которых коллизии особо хорошо ищутся.

                                              Но все эти ваши ухищрения летят в тартарары, если у вас данные уже есть. Нет никакого парадокс дней рождения, нет никаких «хороших» входных данных, никаких поблажек. Вам нужна суровая сибирская атака нахождения прообраза — а тут всё очень и очень плохо.

                                              Коллизионные атаки плохи, спору нет: сотрудник банка, который подписывает банк-клиент, может, к примеру, изменить его так, чтобы такую же подпись имел троян, с помощью которого его подельники потом будут деньги воровать. Или просто может подписать версию без закладок, а выложить на FTP версию с закладками. Много чего можно придумать. Но если «всё сделано честно», то подделать подпись для уже существующего файла нельзя. Именно поэтому когда VeriSign прекратил принимать сертификаты с MD5, то уже существующие сертификаты не были отозваны — и все согласились с тем, что это адекватная мера.

                                              После того, как научились находить коллизии MD5 новым сертификатам больше верить нельзя. А старые? С ними всё в порядке: машины времени у злоумышленников нету.
                                              • UFO just landed and posted this here
                                                  +1
                                                  Модифицируя оба файла мы на порядки быстрее добиваемся совпадения хеш суммы — очевидно это и сделали китайцы — в вики ни в русской ни в английской подробно не расписывалось что же они все таки сделали.
                                                  В английской есть два раздела для двух разных видов аттак. Для атаки нахождения пробраза опубликованные результаты такие: 2102 для MD4, 2123.4 для MD5, для SHA1 — пока только полный перебор. Даже для MD4 что-то подделать очень сложно (ну разве что со специализированным ASICом и то не факт), для MD5 и SHA1 — пока можно не напрягаться.

                                                  Вот коллизионные атаки — там да, там всё очень плохо. MD4 и MD5 — подбираются на ноуте, SHA1 — на кластере, но тоже довольно быстро Но это — немного другое. Вернее — сильно другое.
                                    +1
                                    Применяется. Но даже его так как вы описали взломать не удастся. Можно через «парадокс близнецов» сломать: сделать два бинарника — один «оффициальный», другой — «с закладками». Но это всё равно требует соучастника в организации, выпускающей бинарники. «Прямая» атака, про которую вы тут нам песни поёте, по прежнему требует перебора 2123.4вариантов. Которые можно перебрать за какие-то жалкие 10 триллионов лет. На небезивестном компьютере MilkyWay-2. Это как бы несколько дорого получится.
                                    • UFO just landed and posted this here
                                        +1
                                        А обоснование? То, что «вы у них в ветке писали» — это круто, конечно, но было бы хорошо увидеть что-нибудь более проверяемое, чем ваши слова…
                                        • UFO just landed and posted this here
                                            +1
                                            Я думаю что «если бы эта тема» работала, то это рано или поздно было бы обнаружено. Как был обнаружен пресловутый stuxnet, который явно спецслужбы сработали (правда пока до сих пор неясно — чьи).
                                            • UFO just landed and posted this here
                                                +2
                                                Так и запишем: доказательств у вас нет, никаких ссылок у вас тоже нет и даже идей нет. Есть разные разговоры про теории заговора и ссылки на ваши собственные сообщения на каких-то закрытых форумах. Ok. Думаю достаточно.

                                                Я-то думал у вас какая-то новая информация есть, а тут, похоже банальное смешение понятий.

                                                P.S. Рассказы про то, что «возможность подгонки чего-то куда-то есть» не особо канают, пока вы не скажете как вы это собрались делать «не вскипятив при этом океан».
                                                • UFO just landed and posted this here
                                                +1
                                                Да ну бред это. И вы абсолютно верно заметили, что даже если гипотетически предположить, что такое возможно, то те же вирлабы рано или поздно натыкались бы на такие сэмплы. Каждые сутки просеиваются сотни тысяч бинарей, анализ таких вещей (подпись, её валидация, анализ сэмпла) давно автоматизирован и левый файл с подписью известного вендора моментально привлечет внимание. Однако что-то про таких не было слышно. Подписанные утёкшими сертификатами — почти постоянно, но про подделку да и даже её возможность не слышал.
                                            +1
                                            В каждой второй ветке в интернетах сидят эксперты по медицине, геополитике, дорогим часам, спортивным автомобилям и футболу. Вот теперь ещё по криптографии. Если бы «тема» работала, то парням из треда не надо было бы подделывать жалкие банк-клиенты. Не стоит верить таким экспертам на слово.
                          +3
                          С таким же успехом можно раскрутить до критической уязвимости раздачу клиент-банков через FTP банка — при наличии MITM злоумышленник может на ходу подменить бинарник, клиент его установит себе в систему и при этом эта «уязвимость» в FTP никак не фиксится «by design».
                          Понятно, что это ещё менее опасно, но «эта „уязвимость“» легко фиксится раздачей с защищённого сайта.
                            +4
                            Кстати, подмена бинарников — это вовсе не фантастика. Вот свежие свидетельства.
                            +6
                            У синего из трех букв и двух цифр проблема с этой уязвимостью наименьшая из проблем:
                            --По умолчанию установка пароля для 3dsecure выполняется через сайт по http( около месяца назад столкнулся с этим)
                            --Один раз заметил, что авторизация оплаты 3ds тоже иногда происходит по http( полгода назад такое имело место)

                            Это я к чему. Некоторые банки и без уязвимостей могут сами всё самостоятельно и квалифицированно продолбать.
                              0
                              У этого банка с софтом вообще АДЪ! Софт меняют просто ежедневно, ЕПАМ трудится изо всех сил, поэтому новые проблемы появляются непрерывно (возможно, и решаются — этого я не видел, к сожалению). По банк-клиенту от меня было уже 6 (!) обращений. Только по одному вопросу есть хоть какой-то прогресс.

                              P.S. А ведь когда-то это был лучший банковский интернет-клиент в РФ. Когда у банка еще четыре буквы без цифр в названии было… Но «дружественное» поглощение госбанком — и вуаля, все наладилось!
                              +9
                              Давайте, всё-таки, скажем, что это атака парой классов ниже, чем heartbleed. Потому что требуется MiM. Это совсем не то же самое, когда номера карточек и пароли выгребают с сервера со скоростью 64кб per request.
                                0
                                Да, конечно это не heartbleed, но отключить ssl3 в настройках веб сервера несамая сложная задача. Если конечно это самописный софт.
                                  +2
                                  И поломать банк-клиент у Самого Важного Клиента, который сидит на ie6 и точно не хочет, чтобы у него хоть что-то менялось. Я лично такого знал — и его реально ie6 всем устраивает.

                                    0
                                    Насчет клиентов с IE6 вы правы они станут жервой, при оключении SSL3. Мне кажется, это нужно решать организационно. А по поводу консерватизма, на мой скромный взгляд IT и темболее инфо безопасность не лучшее место для его проявления.
                                    Пример из жизни: один из проверенных банк клиентов поддерживает работу только через SSL3, но кромее этого работаает только с опреденной версие КриптоПро, которая в свою очередь «ломает» работу Windows Update (да есть патч решающий проблему). Ну как все понимаю, не работающий WU явно не идет на пользу безопасности и просто не обновит изменения перевода времени!
                                    forum.ixbt.com/topic.cgi?id=22:88396
                                      +1
                                      Это бизнес. Если человек с деньгами хочет IE, значит, будет IE. Кроме того, в отличие от heartbleed, где уязвимость была безусловная, обсуждаемая узявимость носит крайне теоретический характер: нужен MiM, причём не на один коннект¸ а на длительное время.

                                      В куче контекстов (домашний ethernet через ADSL, корпоративная сеть) это просто несущественно.

                                      То есть проблема есть, но выбирая между бегом-бегом-всё-пофигу-срочно-патчимся и аккуратным тестированием, соотношением плюсов и минусов, я лично за второе.

                                      Повторю, сейчас все с каждой проблемой openssl бегают как с писаной торбой, но обсуждаемая проблема совершенно другого класса (и устраняется чем-то типа квартальных апдейтов).

                                      Она опасна и неприятна для людей, у которых может оказаться MiM — например, хипстеров, которые по халявным wifi'ям коннектятся. Но хипстеры-параноики у себя SSL3 и так и так выключат, а респектабельные консерваторы на IE6 и домашнем ADSL ничего не заметят — и славно.
                                        0
                                        На верное у нас разный опыт общения с банками. Моя практика такова, что банки не церемонится со своими клиентами и не спрашивают клиента о том: какую версию OC (и её разрядность), браузер, Java, крипто провайдер, протокол и т.д. он хочет, а ставят его перед фактом. Хочешь банк-клиент значит подстроишься. (да, есть VIP клиенты их проблемы решают в приоритете).
                                        • UFO just landed and posted this here
                                  • UFO just landed and posted this here
                                      0
                                      Что логично, так как это приносит прибыль, а убытки если «вдруг всё совсем плохо» окажется государство покроет. Проблем-то.
                                • UFO just landed and posted this here
                                    0
                                    А Java ругается на HTTP-страничку, с которой стартует клиент для юрлиц
                                    • UFO just landed and posted this here
                                    –1
                                    Британцы молодцы

                                    Barclays банку сотни лет, а за безопасностью следят :)

                                    image
                                      +5
                                      SSL 3.0, SHA1, шифр RC4, отсутствие прямой секретности. Пока что слабовато.
                                        0
                                        Интересно, столько несоответствий и рейтинг А- таки.
                                        0
                                        Можете указать на 3 отличников, устранивших уязвимости?
                                        (только если это не нарушает правил сайта)
                                          0
                                          Альфа, Сити, Рус.Стандарт
                                          0
                                          Не столько банк, сколько выпускатель всяких карт и платёжных систем «Золотая Корона».
                                          У них есть сайт для держателей подарочных карт, которые выдают/покупают в подарок в разных магазинах — gift.korona.net
                                          Написал в техподдержку что сертификат не валидный, на что они мне начали делать всякие отписки, что этот сайт только для самих магазинов, а не клиентов и это поведение, что сертификат не подлинный — нормальное.

                                          1. www.dropbox.com/s/r8zwty9k0gz93k5/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202014-10-20%2016.40.34.png?dl=0
                                          2. www.dropbox.com/s/3qm9ne8es3wg8ub/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202014-10-20%2016.41.01.png?dl=0
                                          3. www.dropbox.com/s/g503ps6yshzxadf/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202014-10-20%2016.40.45.png?dl=0

                                          В нём не содержится информации о корневом центре и похоже на самоподписанный.
                                          Вот проверка сторонним сервисом: www.ssllabs.com/ssltest/analyze.html?d=gift.korona.net

                                          Найти бы начальника этого отдела или отдела безопасности, но ведь нет, никто не говорит.

                                          Надеюсь что это сообщение увидят сотрудники этой организации, хотя врят ли…

                                          Only users with full accounts can post comments. Log in, please.