OpenSSL gevoelig voor timing-aanval

De makers van OpenSSL hebben bekendgemaakt dat een lek in het pakket kan leiden tot het uitlezen van versleutelde data. Het lek werd onlangs ontdekt door een aantal onderzoekers van de Zwitserse EPFL, die in een binnenkort te verschijnen stuk schrijven hoe de aanval uitgevoerd zou kunnen worden. OpenSSL heeft onmiddellijk een patch uitgebracht en nieuwe versies van de software beschikbaar gesteld. De aanval, die gebaseerd is op timing, gaat ervan uit dat bij iedere verbinding dezelfde plaintext-string, bijvoorbeeld een wachtwoord, wordt verzonden. Bij verschillende types errors kunnen er timing-verschillen ontstaan, waardoor een hacker achter de volledige string kan komen:

An active attacker can substitute specifically made-up ciphertext blocks for blocks sent by legitimate SSL/TLS parties and measure the time until a response arrives: SSL/TLS includes data authentication to ensure that such modified ciphertext blocks will be rejected by the peer (and the connection aborted), but the attacker may be able to use timing observations to distinguish between two different error cases, namely block cipher padding errors and MAC verification errors.

Lees meer

Reacties (10)

egosuma 21 februari 2003 15:56

Dit was geloof ik al eerder bekend, maar het zou teveel moeite zijn om de hele plaintext-string te achterhalen.
Succes zou teveel op toevalstreffers gebaseerd zijn en bovendien de juiste interpretatie van de toevalstreffers.

Slechts blokjes tekst uit de hele plaintext-string kunnen met veel moeite achterhaald worden, en dan is het nog de zaak om deze blokjes in de goede volgorde te zetten.

Wel een belangrijke patch, maar niet een lek om te vrezen....al denken creditcard companies daar waarschijnlijk anders over.

Guru Evi 21 februari 2003 16:47

Wel degelijk te gebruiken. Ik ben al een tijdje over zo'n hack aan het nadenken en het zou in theorie perfect mogelijk zijn (met een beetje programmeren) als je de host & ip kan spoofen tijdens de sessieinitialisatie.
Als je de juiste timing weet kun je je eigen SSH-programma schrijven die de andere overneemt - dit gaat echter niet ongemerkt aan de andere gebruiker voorbij dus niet echt mogelijk als je een beetje een savvy netwerkgebruiker hebt.
Het is mogelijk in een labo of op een klein netwerk maar bijna onmogelijk op een groter netwerk of Internet.

Stan 21 februari 2003 19:59

Dat dit soort dingen kan was inderdaad al langer bekend. Ik kan me zelfs herinneren dat 2 kerels op HAL2001 er een presentatie over hebben gegeven die ik heb bijgewoond. Dit ging ook over trafic-analysis a.d.h.v. timings etc.

De beschrijving van de presentatie was;

Session: SSH Traffic Analysis
This presentation covers several weaknesses in common implementations of "secure" (encrypted) remote login protocols, with SSH (Secure Shell) protocols as the particular example. When exploited, these weaknesses allow an attacker to obtain sensitive information by passively monitoring encrypted remote login sessions. Such information may later be used to speed up brute-force attacks on passwords, including the initial login password and other passwords appearing in interactive login sessions.
The traffic analysis attacks will be demonstrated. Countermeasures to reduce the impact of traffic analysis are proposed.
(HAL2001)

Spider.007 21 februari 2003 20:02

Al een tijdje heb ik een interessant document hierover liggen met wat techtnische informatie met grafieken ed. Heb het hier neergezet.

Verwijderd 21 februari 2003 15:40

Nou, dat ze snel reageren is een goed voorbeeld!

Verwijderd @Verwijderd • 21 februari 2003 15:44

Vooral omdat het zo ver gezocht is. Ik kan me voorstellen dat je toch een stukje software moet schrijven/gebruiken om de verschillende timings te beoordelen.

Of is dit makkelijker dan dat ik inschat?