Szyfr RC4 praktycznie łamany: Twoje ciasteczko będzie nasze w ciągu 75 godzin

Perspektywa miliardów połączonych w sieć Rzeczy, którychoprogramowanie nigdy nie zostanie zaktualizowane, musi zachwycaćtwórców złośliwego oprogramowania. Sprawdzone i stosowane przezlata mechanizmy zabezpieczeń nagle okazują się bezwartościowe poopublikowaniu jednego matematycznego artykułu – i nie idzie z tymnic zrobić. Tak właśnie się stało z ogromnie popularnym szyfremstrumieniowym RC4, którego gwoździem do trumny jest pracabelgijskich matematyków Mathy Vanhoefa i Franka Piessensa, którzypokazują, jak złamać go w protokołach WPA-TKIP i TLS.

Osiągnięcie jest niebagatelne – słabości w RC4 umożliwiłybadaczom efektywne i efektowne złamanie popularnego protokołu Wi-FiProtected Access Temporal Key Integrity oraz ujawnienie tekstuzabezpieczonego przez powszechnie wykorzystywany w InternecieTransport Layer Security. Wystarczyło maksymalnie 75 godzin, byodszyfrować przechwycone w ten sposób ciasteczko logowania dowitryny internetowej, przejmując w ten sposób cyfrową tożsamośćofiary. Badacze zapewniają jednak, że w ataku na rzeczywisteurządzenia, udało im się wykonać go w ciągu 52 godzin, co czyniatak wysoce praktycznym. Pierwszy znany atak na RC4 wymagał ponad 2tysięcy godzin, zaś najbardziej dotąd efektywny – do 776 godzin.

Prezentacja ataku odbędzie się na konferencji USENIX SecuritySymposium, w sierpniu w Waszyngtonie. Póki co w artykulept. All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP andTLS, jego twórcy pokazali, że są w stanie złamać siećWPA-TKIP w ciągu godziny: po skutecznym przeprowadzeniu ataku są wstanie odszyfrowywać i wstrzykiwać dowolne pakiety w ruchskierowany do klienta. W tym celu wymusza się wygenerowanie dużejliczby identycznych pakietów, wygenerowanie listy potencjalnychodszyfrowanych odpowiedników i odrzucenie niepoprawnych. Zodszyfrowanego pakietu wyprowadzany jest klucz TKIP MIC, za pomocąktórego można już wstrzykiwać i odszyfrowywać pakiety.

Podobnie przeprowadzany jest atak przeciwko ciasteczkom, gdzienapastnik wstrzykuje do niezabezpieczonej witryny złośliwy kodJavaScriptu generujący żądania, przechwytuje zaszyfrowaneżądania, a następnie wylicza prawdopodobne ciasteczka, próbującje jedno po drugim. Odszyfrowanie 16-znakowego ciasteczka zprawdopodobieństwem sukcesu 94% wymagało w eksperymencieprzechwycenia 9·227 szyfrowań. Jako że zastosowana metodapozwalała na wygenerowanie 4450 żądań na sekundę, liczba ta możebyć zebrana w ciągu wspomnianych 75 godzin.

Oczywiście taki atak nie ogranicza się tylko do ciasteczek.Odszyfrować w ten sposób można wszystkie dane zabezpieczone RC4.Problemem tego szyfru są bowiem statystyczne odchylenia w strumieniukluczy. Pierwszym z nich są tzw. odchylenia Fluhrera-McGrewa, wktórych dwa kolejne bajty mają skłonność do przybierania pewnychwartości. Drugim są odchylenia Mantinsa typu ABSAB,w których paranastępujących po sobie bajtów ma skłonności do powtarzania się.W ataku Vanhoefa-Piessensa wykorzystano oba rodzaje odchyleń.

Co w tej sytuacji robić? Oczywiście należy zrezygnować zWPA-TKIP (na rzecz WPA2-AES) jak również wszystkich bazujących naszyfrze RC4 zabezpieczeniach. Nie będzie to jednak łatwe –obecnie ok. 30% wszystkich połączeń TLS w Sieci wykorzystujewłaśnie RC4, w użyciu są miliony urządzeń, które używajątylko tego szyfru. Sytuacja wygląda obecnie tak, że najlepiejwypada tu Internet Explorer 11, który domyślnie w ogóle nieoferuje szyfru RC4 podczas negocjacji SSL. Gorzej jest z Firefoksem,którego można zmusić do wykorzystywania RC4 (domyślnakonfiguracja zezwala na jego stosowanie) oraz Chrome (taka samasytuacja).

W przeglądarce Mozilli można wyłączyć to za pomocą zmianyustawień w about:config, ustawiając wszystkie wpisy z RC4 na„false”, w Chrome konieczne jest uruchomienie przeglądarki zlinii komend, z opcją wciągającą szyfry o zadanych kodach naczarną listę--cipher-suite-blacklist=0x0004,0x0005,0xc007,0xc011,0x0066,0xc00c,0xc002.Pomocą posłuży tu też narzędzie firmy Qualys – SSLClient Test, dzięki któremu sprawdzimy, na co przeglądarkajest gotowa.