Netcraft przyjrzał się bezpieczeństwu SSL: Microsoft i Apple ułatwiają życie NSA?

Bezpieczeństwo technologii SSL/TLS, wykorzystywanej oddziesięcioleci do zabezpieczania komunikacji internetowej (to tasłynna „kłódeczka” w pasku adresowym przeglądarki),nieraz już było stawiane pod znakiem zapytania. Było tak, gdy irańscyhakerzy zdołali zinfiltrować serwery jednego z urzędówcertyfikacyjnych i wygenerować sfałszowane certyfikaty SSL dlaserwisów największych firm internetowych, było tak, gdy szwedzkaTelia Sonera została oskarżona przez Mozillę o dostarczanie władzomkrajów kaukaskich technologii pozwalających na inwigilacjęinternautów, było tak, gdy zrobiło się głośno o atakachman-in-the-middle chińskich hakerów wymierzonych w popularny serwishosting kodu GitHub. Nic więc dziwnego, że znów się zaczyna głośnopytać o SSL, gdy sprawa ujawnienia przez Edwarda Snowdena projektuPRISM, mającego na celu monitorowanie komunikacji w Sieci nieznika z pierwszych stron najpopularniejszych serwisów. Netcraft –firma, która od zarania istnienia WWW zajmuje się badaniami rynkuhostingowego i audytami bezpieczeństwa – postanowiłapotraktować ujawnione sekrety NSA na poważnie i w ich świetlesprawdzić skuteczność zabezpieczeń, jakie przynosi SSL.Ujawnione przez Snowdena materiały potwierdziły to, o czymwcześniej mówili tylko noszący czapki z folii aluminiowej paranoicy:NSA gromadziło całą dostępną tej agencji komunikację sieciową, takżetę zaszyfrowaną. Nie oznacza to, że w jakiś magiczny sposóbkryptolodzy NSA byli w stanie rozszyfrować otrzymywane dane –przechowywano je w nadziei, że przyjdzie czas, gdy cały zgromadzonymateriał można będzie rozszyfrować za jednym zamachem. Jeśli w jakiśsposób agencja zdołałaby uzyskać prywatny klucz jakiegoś popularnegoserwisu internetowego, czy to dzięki szpiegostwu, kryptoanalizie,działaniach sądowych czy skutecznemu włamaniu, to mogłaby nimodszyfrować wszystkie pozyskiwane przez lata dane… podwarunkiem, że w szyfrowanej komunikacji nie używano technologiiperfect forward secrecy (PFS).[img=ssl-opener]W 1992 roku kryptografowie Diffie i van Oorschot jako pierwsiprzedstawili problem ujawnienia całego zbioru danych przez naruszeniebezpieczeństwa pojedynczego prywatnego klucza. Rozwiązaniem miały byćprotokoły, które zapewniałyby, że złamanie pojedynczego kluczazapewni dostęp tylko do danych zabezpieczonych przez ten klucz. Zklucza wykorzystanego do ochrony danych nie można byłoby wyprowadzićżadnych dodatkowych kluczy, a jeśli wykorzystany do zabezpieczeniaklucz został wyprowadzony z innego klucza, to ten inny klucz niemógłby już więcej być wykorzystywany do generowania kolejnych kluczy.Dla agentów NSA technologia PFS musiała wyglądać okropnie: każdaprzechwycona i zapisana sesja musiała być atakowana oddzielnie, adostęp do przechwyconych kluczy prywatnych podsłuchiwanych witryn wniczym nie ułatwiała takiego ataku. Na szczęście dla Wielkiego Brata,PFS nie jest powszechnie stosowany. Dlaczego?Protokół SSL pojawił się w 1994 roku, więc jego twórcy od początkuzakładali możliwość wykorzystania PFS. W rzeczywistości jednak wposzczególnych implementacjach SSL rozwiązanie to pojawiło się dośćpóźno: na przykład Google wprowadziłoje do połączeń HTTPS dla Gmaila i innych swoich usług dopiero w2011 roku. Oczywiście, by PFS działało, musi być wspierane zarównoprzez serwer WWW jak i przeglądarkę, a jego utrzymanie dla operatorawitryny oznacza dodatkowe koszty: narzut generowany przez perfectforward secrecy względem standardowych połączeń HTTPS ocenia się, wnajlepszym razie, na 15% (a w wypadku niezoptymalizowanych wersjiOpenSSL, aż 27%).Netcraft przyjrzałsię więc, jak wygląda wsparcie dla PFS z obu stron, odprzeglądarki i serwera. Pod lupę trafiło pięć najważniejszychprzeglądarek – Firefox, Google Chrome, Internet Explorer,Safari i Opera, przetestowanych na 2,7 mln witryn zidentyfikowanych wczerwcowym badaniu SSL Survey i działających takich serwerach WWW jaknginx, Apache, Google Web Server i Microsoft IIS Server. Wyniki dajądo myślenia i każą zastanowić się, czy aby czasem takie, a nie innewybory rozwiązań technicznych, nie były podyktowane naciskamipolitycznymi.Okazuje się, że Firefox, Chrome i Opera zapewniały wsparcie dlaPFS dla ponad 30% wszystkich połączeń SSL, podczas gdy dla InternetExplorera wynik ten wynosił zaledwie 0,29%, zaś dla Safari 1,38%.Przeglądarka Microsoftu nie wspiera także żadnego zestawu szyfrów,który wykorzystywałby jednocześnie klucze publiczne RSA i wymianękluczy po protokole Diffiego-Hellmana – a właśnie tego wymagają najpopularniejsze implementacje PFSpo stronie serwerów WWW. Z kolei przeglądarka Apple'a jest takskonfigurowana, by dawać priorytet tym zestawom szyfrów, które nieumożliwiają PFS, nawet jeśli serwer WWW umożliwia zastosowanie tejtechnologii.A jak wygląda sprawa od strony hostingowej? Też dość ciekawie:największą dbałość o bezpieczeństwo wykazał rosyjski serwer nginx,który domyślnie narzuca wykorzystanie silnych zestawów szyfrów –w ponad 70% wypadków odwiedzenie witryny serwowanej przez serwer panaIgora Sysojewa za pomocą Firefoksa, Chrome czy Opery owocowałonawiązaniem połączenia wykorzystującego PFS (dla Internet Explorerapołączenia z PFS nawiązywane były już tylko w 6,2% wypadków). Dobrzewyglądały też wyniki Apache'a (ponad 66% dla Firefoksa, Chrome iOpery, 0% dla IE), znośnie zaś dla serwera Google (około 40% dlaFirefoksa i Chrome). W wypadku witryn hostowanych na IIS Serverze oPFS można zapomnieć: jedynie 0,01% wszystkich testowanych połączeńmiędzy IE i IIS-em korzystało z perfect forward secrecy.[img=heatmap2-pfa]W świetle zainteresowania NSA największymi serwisamiinternetowymi, Netcraft postanowił sprawdzić też, na ile bezpiecznesą usługi oferowane przez poszczególnych internetowych gigantów.Okazuje się, że cała komunikacja z Facebookiem, Twitterem, Yahoo!,Microsoftem, AOL-em i Apple możliwa jest do złamania po przechwyceniuprywatnych kluczy ich serwisów, bez względu na zastosowanąprzeglądarkę. Jedynie Google postarało się o wsparcie dla PFS dlaswoich usług internetowych, nawet jeśli użytkownik nawiązywałpołączenie przez Internet Explorera (choć użytkownicy Operypozostawali tu na lodzie). Co ciekawe, popularna alternatywa dlaGoogle'a, lubiana przez miłośników prywatności wyszukiwarkaDuckDuckGo w ogóle nie wspiera PFS, podobnie też wygląda sytuacja zcyberschowkiem Mega Kima Dotcoma.Miłośnicy teorii spiskowych mogą świętować: w badaniu mamywszystko, czego można się spodziewać: brak właściwych zabezpieczeń wproduktach wiodących firm Korporacyjnej Ameryki – Microsoftu iApple'a, niemal wszystkie witryny objęte PRISM-em wybierające takiezestawy szyfrów, by NSA nie miało trudnego życia, rosyjski webserwerzapewniający najwyższe bezpieczeństwo… Całą resztę możeciedopisać sobie sami.