Den seneste sårbarhed i SSL, DROWN, understreger, at det er på tide at rydde op i virksomhedernes krypteringsinfrastruktur.
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
For en måned siden offentliggjorde sikkerhedsforskere et alvorligt sikkerhedshul i krypteringsteknologierne SSL (Secure Sockets Layer) og TLS (Transport Layer Security). Ja, endnu et.
Som om Heartbleed, FREAK (Factoring attack on RSA-EXPORT Keys) og POODLE (Padding Oracle On Downgraded Legacy Encryption) ikke var nok.
Den seneste sårbarhed er naturligvis også udstyret med en sej forkortelse: DROWN (Decrypting RSA using Obsolete and Weakened eNcryption).
DROWN handler om at udnytte den notorisk usikre protokol SSL v2 til at få adgang til data krypteret med den ellers ganske sikre TLS-teknologi.
At SSL v2 er usikker, har været kendt i 20 år. Den er den første version af SSL-kryptering, der blev brugt i praksis. Koden stammer tilbage fra 1990'erne.
Så nemt kan den gøres usikker
Hidtil har man troet, at det var tilstrækkelig beskyttelse at sørge for, at SSL v2 ikke blev benyttet på ens servere.
Men DROWN-angrebet viser, at hvis der blot er installeret SSL v2 på en server, kan det gøre den usikker. En SSL v2 på en anden server kan sågar bruges til angreb på en TLS-server.
Angrebet udnytter en kombination af kendte og nyopdagede sårbarheder i SSL v2 til at knække kodningen af den nøgle, som kommunikationen krypteres med.
For at det kan lade sig gøre, skal angriberen have adgang til at aflytte kommunikationen og lagre de krypterede datapakker. Det kan lade sig gøre via et man-in-the-middle-angreb.
Pris: 440 dollar
Som regel bruger organisationer det samme certifikat til flere servere. Dermed er det også den samme nøgle, der beskytter kommunikationen.
Så et vellykket angreb på en server med SSL v2 gør, at angriberen nu kender nøglen i organisationens certifikat - der også bruges i TLS.
Det er dog ikke gratis. Der skal regnes en del, før man har knækket koden.
Krypteringsforsker Matthew Green anslår, at det kan gøres på et par timer for omkring 440 dollar på et cloud-system.
Og som han skriver: "Er dit login til banken 440 dollars værd? Sikkert ikke. Men andres er det nok."
Desuden findes der en variant af DROWN, hvor koden kan knækkes på et minut med blot en enkelt CPU-kerne.
Det kræver dog, at offeret anvender en udgave af OpenSSL fra før marts 2015.
Og her er vi ved mit budskab med denne måneds klumme: Se nu at få opdateret jeres krypteringssystemer!
Omkring halvdelen af de sårbarheder, vi i DKCERT møder i praksis, er relateret til SSL/TLS. Foruden gamle versioner og konfigurationsfejl kan det være forældede certifikater.
Tjek konfigurationen
En ting er at opdatere til den nyeste version af softwaren. En anden er at sikre, at den er konfigureret korrekt.
For eksempel skal I tjekke, at der ikke er nogen måde, hvorpå en angriber kan etablere en SSL v2-forbindelse til jeres systemer.
DROWN er det seneste eksempel på en sårbarhed relateret til kryptering.
Jeg tror desværre ikke, det er den sidste, vi får at se.
Sårbarheder i kryptering er alvorlige, fordi kryptering i dag er en uundværlig del af vores digitale liv.
Hver gang vores smartphones kommunikerer med en server, indgår der kryptering.
Din netbank er beskyttet med kryptering. Det samme gælder betalingskortsystemerne.
Derfor er det afgørende, at sikkerhedshuller i krypteringssystemer bliver lukket så hurtigt og effektivt som muligt.
Kryptering overalt
Tidligere var kryptering forbeholdt websider med fortrolig information.
I dag går tendensen mod at gøre kryptering til standard: Det skal bruges på alle forbindelser. Det så vi allerede for nogle år siden, da Google gik over til at tilbyde TLS-kryptering som standard på søgninger.
Senest er flere organisationer begyndt at tilbyde gratis servercertifikater. Det kan være med til at gøre teknologien endnu mere udbredt. Dermed stiger også kravene til, at den implementeres sikkert og korrekt.
Opdater nu
Jeg anbefaler, at I kører TLS 1.2 på alle systemer.
TLS 1.2 er fra 2008, men blev i 2011 opdateret, idet man fjernede bagudkompatibiliteten med SSL. Som det fremgår af ovenstående, var det fremsynet, men desværre ikke tilstrækkeligt.
TLS 1.3 er under udarbejdelse. Vær forberedt på at opdatere, når den en dag er færdigudviklet.
Oprindelig offentliggjort på Computerworld Online den 1. april 2016