Onderzoekers kraken random-generator Windows 2000

Israëlische onderzoekers van de Universiteit van Haifa zijn er in geslaagd het algoritme van de pseudo-random number generator van Windows 2000 te reconstrueren en zijn zo op een aanvalsmethode gestuit.

De kwetsbaarheid die de onderzoekers hebben gevonden met betrekking tot de pseudo-random number generator stelt een aanvaller in staat informatie te achterhalen die verzonden is voor de hack van het systeem heeft plaatsgevonden. De prng van Windows is cruciaal voor de beveiliging van bijna alle applicaties die draaien op het besturingssysteem. Het algoritme van de generator is nooit gepubliceerd.

Random karakters Door de binaire code van Windows 2000 te analyseren is het Israëlische onderzoeksteam er echter in geslaagd het algoritme te reconstrueren en de beveiliging ervan op de proef te stellen. Het team kwam tot een succesvolle aanval: als de staat van de generator bekend is aan de aanvaller, bijvoorbeeld door een bufferoverflow, blijkt het mogelijk de voorgaande staat af te leiden. De manier waarop Windows gebruikmaakt van de generator blijkt bovendien het effect van de aanvalsmethode te versterken.

Zo bleek de staat van de generator pas ververst te worden nadat 128KB aan gegevens doorgestuurd zijn naar het proces dat de generator aangeroepen heeft. Bovendien draait elk proces een andere kopie van de prng. Gevolg is dat een aanval waarbij de staat van de generator bekend is 128Kbyte aan data kan onthullen van voor of na die staat, zoals ssl-sleutels.

Volgens de onderzoekers is hun aanval ernstiger en efficiënter dan reeds bekende aanvalsmethoden waarbij een aanvaller alleen achter ssl-sleutels kan komen als deze controle heeft over het systeem op het moment dat de sleutels gebruikt wordt. Het lijkt er echter wel op dat de applicatie die de prng aangeroepen heeft vatbaar moet zijn voor een aanval of dat de aanvaller administrator-rechten op het systeem moet zien te bemachtigen om het lek te misbruiken.

Het team heeft alleen Windows 2000 onderzocht, maar neemt aan dat Windows XP en Vista dezelfde generator gebruiken en dus ook kwetsbaar zijn.

IT-banen

Reacties (54)

TheBlasphemer 13 november 2007 16:08

Van wat ik tijdens DevDays 2007 heb gehoord, is de hele cryptografische library in Vista op de schop genomen: Best een aanwezige kans dus dat het in Vista anders zit.

Milt @TheBlasphemer • 13 november 2007 16:20

Ik neem aan dat het om de random generator in de Visual C/C++ runtime library gaat en niet de random generator in de Cryptography API. Het klopt overigens dat Vista en Windows 2008 Server een vernieuwde Cryptography API ondersteunen.

PrisonerOfPain @Milt • 13 november 2007 16:52

Het gaat om de CryptGenRandom functie uit de Cryptography API, niet om de rand() functie uit stdlib.h; dat zou ook vrij nutteloos zijn omdat die sowieso niet bedoelt is voor cryptografische doeleinden.

Thundy 13 november 2007 16:28

Het kan aan mij liggen maar ik vind het allemaal redelijk normaal klinken en zeker niet spannend. Een random getal van een generator is toch altijd gebaseerd op de staat van de generator en dus ook op de vorige output/systeemklok etc.

Lijkt me vrij logisch dat als je via reverse engineering tot assemblycode/broncode komt dat je dan kan voorspellen wat er is gebeurt/gebeuren gaat.

Verder wordt er ff verondersteld dat men achter de staat komt via een bufferoverflow...

kortom als de code gewoon goed geprogrammeerd is/aangepast wordt zodat bufferoverflow niet mogelijk is dan is de hele methode waardeloos.

verder zal geen enkel programma keys uitleveren die 100% deze random waarde bevat en dus moet je nog altijd ook ff over de broncode/werking daarvan beschikken.

ps. het nabouwen/reverse engineren van iets is niet hetzelfde als het "kraken" van iets tenzij dit direct leidt tot een key.

[Reactie gewijzigd door Thundy op 29 juli 2024 13:59]

user109731 @Thundy • 13 november 2007 16:45

kortom als de code gewoon goed geprogrammeerd is/aangepast wordt zodat bufferoverflow niet mogelijk is dan is de hele methode waardeloos.

Doe jij dat even? Bufferoverflows kunnen in elke software zitten, en daar kun je maar beter rekening mee houden. Er zijn genoeg gebruikers met ongepatchte software.

ps. het nabouwen/reverse engineren van iets is niet hetzelfde als het "kraken" van iets.

Dat word ook niet beweert, men heeft 'm gekraakt na het reverse engineeren... Als je zegt dat je algoritme pseudo-random nummers produceert, en als er dan aangetoond is dat dit niet het geval is, dan kun je zeggen dat het algoritme, en daarmee de PRNG, 'gekraakt' is.

[Reactie gewijzigd door user109731 op 29 juli 2024 13:59]

Thundy @user109731 • 14 november 2007 09:36

waar lees jij dat dit niet het geval is?

het enige wat ze aangetoond hebben is dat ALS ze de state weten, ze het vorige getal kunnen berekenen en pas NA het achterhalen van de broncode.

iets wat mij vrij logisch en ongevaarlijk klinkt aangezien je toch echt al dik binnen in het systeem moet zijn (via een hack) voordat je uberhaubt toegang hebt tot het geheugen van PRNG (via nog een hack)...

latka @Thundy • 13 november 2007 16:44

Bijna goed: lineaire congruentie methodes klopt dit voor, maar een beetje random generator voor crypto doeleinden voert continue randomness toe aan de generator (interupt ratio, muisbewegingen, disk activiteiten) om zo te voorkomen dat je kunt voorspellen. Ook dit is niet waterdicht (als je het aantal netwerk pakketjes per seconde mee gaat nemen kun je het extern beinvloeden...) maar zeker niet te hacken op de door jou voorgestelde wijze.

boe2 13 november 2007 15:48

Een zeer originele manier om een aanval uit te voeren dat wel.

Het lijkt er echter wel op dat de applicatie die de prng aangeroepen heeft vatbaar moet zijn voor een aanval of dat de aanvaller administrator-rechten op het systeem moet zien te bemachtigen om het lek te misbruiken.

Gelukkig valt de ernst van de situatie nogal mee. Als je adminrechten op een pc kan krijgen is een bestaand ssl wachtwoord niet echt je grootste zorg.

mieJas @boe2 • 13 november 2007 16:12

"Klik hier om de nieuwste emoticons te downloaden"

Maar wat de mensen niet weten, is dat het hier eigenlijk niet gaat om emoticons, maar -heel slim- om een verborgen app die de prng aanroept.

GeniusDex @mieJas • 13 november 2007 16:21

Dat gaat dus niet werken:

Bovendien draait elk proces een andere kopie van de prng.

Mr_gadget 13 november 2007 15:59

Aan de ene kant wel goed dat ze het doen, liever een paar onderzoekers dan een groep russische krakers

Maar aan de andere kant, dit is onderzoek wat iemand anders niet zou doen omdat het teveel tijd kost. Nu is windows dus kwetsbaar terwijl het in oude situatie het niet zo was...Maar MS zal het nu wel moeten patchen (voor zover mogelijk).
Vind dat ze hun tijd beter kunnen besten aan nieuwe beveiligingstechnieken ipv dit. MS kan het met de source in handen veel sneller.

[Reactie gewijzigd door Mr_gadget op 29 juli 2024 13:59]

Verwijderd @Mr_gadget • 13 november 2007 16:07

Als MS daadwerkelijk de intentie hadden om de prng te onderzoeken, dan is het waarschijnlijker dat ze die hele prng direct goed ontworpen hadden.
Blijkbaar vonden ze bij MS de prng een goede oplossing en is er een onderzoek van onafhankelijke mensen voor nodig om dat te weerleggen.

edit: tiepvaud

[Reactie gewijzigd door Verwijderd op 29 juli 2024 13:59]

YopY 13 november 2007 16:10

Ik vraag me af of programma's die draaien onder Windows ook gebruik maken van deze generator. Als dat zo is, dan zijn die ook gevoelig hiervoor, toch? Ik kan me voorstellen dat bijvoorbeeld Java een eigen random nummer generator heeft (virtuele machine e.d.), maar is dat ook zo bij C / C++ e.d. programma's?

Confusion 13 november 2007 16:37

Dat is dan een behoorlijke blunder van de Microsoft programmeurs. Pseudo-random number generators 101: zorg dat je uit de toestand van de PRNG op moment t de toestand op moment t - 1 niet kan afleiden. Zie ook http://en.wikipedia.org/wiki/PRNG.

miser @Confusion • 13 november 2007 20:56

Is het niet zo dat ze juist de andere kant opgaan, naar t+1?
Dus de toekomst in, waardoor de randomness verdwijnt.

SED @Confusion • 14 november 2007 13:21

enig idee hoe oud deze opzet is? van pakweg 1998 ongeveer dus bijna 10 jaar geleden. Kom jij aan met een brandnieuw artikel waarin recente ideeen verwerkt zijn en dat vergelijk je met oude software. Dan kom je tot de wereldschokkende conclusie dat het niet meer bij de tijd is.
Dat is een behoorlijke blunder van confusion lijkt me

Avdo 13 november 2007 20:01

Verbaast me dat ze hier na zoveel tijd op zijn gekomen door

de binaire code van Windows 2000 te analyseren

Een paar jaar terug was de win2k source van het internet te plukken.... had ze heel wat moeite kunnen besparen

Laurens-R @Avdo • 13 november 2007 23:12

Ik denk dat ze dan een groot probleem hadden gehad, als MS erachter was gekomen hoe ze het onderzoek uitgevoerd hebben. Een beetje onderzoekend bedrijf publiceert uiteraard de onderzoeksrapporten.

mae-t.net @Avdo • 14 november 2007 01:46

Nee hoor, alleen maar gedeeltes van de source.

FreezeXJ @Avdo • 14 november 2007 09:17

De code hebben is 1 ding, em goed lezen en de betreffende stukken eruit halen (en doorkrijgen hoe ze werken) is 2. Een mooi Java-filetje kun je snel doorlopen, try that met binair

Overigens vraag ik me inderdaad af hoe ze door de EULA heen gekomen zijn, waarin doodleuk staat dat het reverse engineren van software niet toegestaan is.

Verwijderd 13 november 2007 16:02

Het team heeft alleen Windows 2000 onderzocht, maar neemt aan dat Windows XP en Vista dezelfde generator gebruiken en dus ook kwetsbaar zijn.

/me mompelt iets over assumption en mother

Het team neemt aan dat XP en Vista hetzelfde algoritme gebruiken, maar we zijn inmiddels flink wat verder dus het is goed mogelijk dat er een compleet ander algoritme gebruikt wordt.

Het is dus niet al te verstandig van ze om dat zomaar aan te nemen, zeker aangezien dat op zich eenvoudig te achterhalen moet zijn nu ze weten waar te kijken.

[Reactie gewijzigd door Verwijderd op 29 juli 2024 13:59]

CMG 13 november 2007 16:47

Toch schat ik de kans op exploits die hiervan gebruik maken erg klein in door de complexiteit van het hele verhaal. Ik vermoed dat deze 'weakness' alleen gebruikt zullen worden voor high-level hacks/spionage aangezien het, as far as I can tell, niet echt toepasbaar is op thuis gebruikers. Met name overheden en grotere multinationals zullen dit aangrijpen om (naar ik hoop) te zorgen dat er geen systemen draaien die hiervoor gevoelig zijn.

Soldaatje @CMG • 13 november 2007 17:33

Waarom is het niet toepasbaar op thuisgebruikers?
De hack maakt toch geen onderscheid tussen 2000, XP of Vista?

De kans dat iemand een thuisgebruiker gaat hacken is wel erg klein omdat daar over het algemeen minder te halen valt dan bij een bedrijf.

Verwijderd @Soldaatje • 13 november 2007 17:48

De hack maakt toch geen onderscheid tussen 2000, XP of Vista?

Dat is dus eignelijk niet bekend.
Zeker bij vista zijn grote stukken van de cryptografie herschreven en hoeft dite helemaal niet hetzelfde te werken. Het is echter niet uitgesloten dat dat wel zo is.

Radiant @CMG • 13 november 2007 18:53

Ik vermoed hetzelfde. Dit probleem vind ik vergelijkbaar met dat P4 HT cache "exploit", wat ook een behoorlijke storm in een glas water was.

Je moet Administrator rechten hebben om ook maar iets te kunnen doen, als je dat al hebt kan je ook op genoeg andere (makkelijkere) manieren aan keys en dergelijke komen.

[Reactie gewijzigd door Radiant op 29 juli 2024 13:59]

Confusion @CMG • 13 november 2007 23:58

Bijvoorbeeld het Storm botnet wordt zeker niet bestuurd door een scriptkiddie, maar door mensen met diepgaande kennis van computerbeveiliging, die complexe software schrijven. Kennis van encryptie en prng's zal ongetwijfeld tot hun arsenaal behoren.

kevlar 14 november 2007 09:35

Voor mensen die dit soort attacks interresant vinden kan ik het boek 'silence on the wire' van Michal Zalewski aanraden. Hij schrijft in dit boek over deze attack, maar dan meer in een 'dit zou mogelijk moeten zijn' stelling.
Nu blijkt het dus inderdaad mogelijk.

Het boek gaat trouwens over nog veel meer bizarre security risico's.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (54)

Sorteer op:

Weergave: