FREAK niestraszny tylko Firefoksowi, najgorzej mają użytkownicy Internet Explorera i Androida

Lista systemów podatnych na ujawnioną w tym tygodniu nową lukębezpieczeństwa o chwytliwej nazwie FREAK dalej się poszerza.Początkowo sądziliśmy, że podatność dotyczy jedynie starych (choćwciąż używanych) wersji bibliotek OpenSSL oraz protokokołu AppleSecure Transport, ale okazuje się, ze jest znacznie gorzej.Odpowiednio przygotowany atak jest też skuteczny wobec nowych wersjiChrome i BlackBerry OS-a, a także, jak właśnie potwierdził Microsoft,Internet Explorera 11 oraz innych aplikacji Windows, korzystających zbiblioteki Secure Channel.

Przypomnijmy, o co chodzi z tym FREAK, reliktem koszmarnejpolityki eksportowej Stanów Zjednoczonych, traktującej matematykęjako strategiczną broń. Jeszcze na początku lat 90 federalnaadministracja USA zabroniła swoim obywatelom sprzedawania klientomzagranicznym oprogramowania, które korzystałoby ze zbyt silnychszyfrów. Dopuszczono jedynie wyselekcjonowaną klasę algorytmów,korzystających z kluczy o długości nie większej niż 512 bitów. Mimoże z czasem restrykcje te zostały wycofane, liczne implementacjeprotokołów TLS i SSL wciąż wspierają tamte słabiutkie technikiszyfrowania z minionego stulecia.

Atak FREAK (akronim od Factoring RSA Export Keys) przeprowadzanyjest na samym początku ustanawiania połączenia między maszynami.Klient (np. przeglądarka czy aplikacja w smartfonie) przedstawia sięserwerowi, przesyłając mu m.in. listę obsługiwanych przez siebieszyfrów i ich odmian. Na jej początku powinny być oczywiście szyfrynajmocniejsze – i to je serwer powinien wybrać do ustanowieniabezpiecznego kanału komunikacji. Jeśli jednak napastnik zdołaprzechwycić komunikację między klientem a serwerem, może sfałszowaćtę listę, powiadamiając serwer że obsługiwany jest tylko ten słabyszyfr RSA z 512-bitowym kluczem. Błędne implementacje bibliotekkryptograficznych sprawiają, że serwer przyjmuje to do wiadomości,zwraca słaby klucz, klient go przyjmuje i ustanawiane jest pozorniebezpieczne połączenie.

Dokładną analizę tej podatności znajdziecie nablogu znanego kryptografa Matthew Greena, tu jedynie zwrócimyuwagę na dwie kwestie. Po pierwsze, realna wartość 512-bitowychkluczy RSA jest żadna. Można się o tym przekonać, sprawdzając je nawitrynie BlueKrypt,pozwalającej ocenić odporność kluczy na ataki matematycznej natury.Nawet nie mając w domu superkomputera, możemy relatywnie niewielkimkosztem pobawić się w faktoryzację 512-bitowych kluczy. Greenwspomina o wykorzystaniu w tym celu wirtualnych serwerów w chmurzeAmazon EC2 – zajęło to 7,5 godziny i kosztowało 104 dolary.

Wydawałoby się, że po tylu latach nie powinno być serwerów z TLSakceptujących słabiutkie eksportowe szyfry RSA. Z ostatnich badańInternetu, na zbiorze 14 milionów hostów, okazało się, że 36,7% znich jest podatna na atak. Aby było śmieszniej, znaleziono wśród nichtakie perełki jak witryny NSA, Białego Domu i FBI, a także usługęFacebook Connect. Napastnicy korzystając z FREAK mogą więcodszyfrować ciasteczka i inne poufne informacje z podatnych urządzeńich użytkowników.

Jak wspomnieliśmy, początkowo wydawało się, że najbardziejzagrożeni są użytkownicy Maków, iPadów i iPhonów. Wykorzystywana wSafari biblioteka SecureTransport z łatwością była zmuszana doprzejścia na eksportowe RSA. Potem jednak okazało się, że to samomożna zrobić z biblioteką OpenSSL, w wersji wykorzystywanej m.in.przez Google Chrome do wersji 41.0.2272.76 (i co za tym idzie –Operę), domyślną przeglądarkę Androida i przeglądarkę systemuBlackBerry OS w wersji do 10.3. Niestety to samo dotyczy teżrozwiązań Microsoftu. Okazało się, że poodatne są wszystkie wersjeInternet Explorera, włącznie z IE11, a także wszystkie aplikacjeWindows korzystające z Schannel we wszystkich wspieranych wersjach„okienek”. Miłośnicy Firefoksa mogą być zadowoleni –„lisek” jest jedyną popularną przeglądarką cały czasodporną na FREAK.

Redmond potwierdziło zagrożenie w swoim biuletynie,przedstawiając zarazem tymczasowy środekzaradczy, polegający na wyłączeniu szyfrów RSA za pomocą edytorazasad grupy. Łatka spodziewana jest w najbliższym czasie. Najlepiejjednak by osoby korzystające z podatnych na FREAK witryn i usługzmieniły przeglądarkę na Firefoksa czy Chrome.

Łatki na Safari powinny pojawić się najdalej za kilka dni.Sytuacja z Androidem jest bardziej skomplikowana. OpenSSL od wersji1.0.1k jest już na FREAK odporne, ale spójrzmy prawdzie w oczy –ilu użytkowników telefonów z systemem Google'a w ogóle wie, czym jestOpenSSL i umie samodzielnie zaktualizować oprogramowanie swojegourządzenia? Zdecydowana większość skazana jest na łatki wydawaneprzez producentów, a dobrze wiemy, jakie jest ich podejście dokwestii bezpieczeństwa. To zresztą nie tylko kwestia podejściaproducentów, ale też i samego Google, niezbyt dziś zainteresowanegostarszymi, a wciąż powszechnie używanymi wersjami Androida.Użytkownikom Androida możemy więc obecnie polecić jedyniezainstalowanie mobilnejwersji Firefoksa – odpornej na FREAKna tym systemie. Inne przeglądarki można sprawdzić za pomocą przeznaczonego do tego narzędzia.