web-dev-qa-db-ja.com

NokiaのSSLトラフィックの「機関MITM」は、CRIME攻撃に対して脆弱ですか?

一部のNokiaの電話はすべてのトラフィックをプロキシする (SSL接続を含む) Nokiaのプロキシ経由 であることが最近ニュースになっています。これは事実上、それらの電話を使用するユーザーに対する「制度的MITM」攻撃です。

Nokiaはこれを ユーザーの帯域幅を節約する に行っているようです。どうやら、彼らのプロキシはデータを圧縮します。これは称賛に値する目標です。ただし、 Thomas Porninが問題を提起します これにより、 CRIME攻撃 に対して脆弱になるかどうかについての質問です。これは厄介な可能性です。

だから、私の質問は:ノキアのシステムはCRIME攻撃に対して脆弱ですか?

(Opera MobileとKindle FireもHTTPトラフィックをプロキシしますが、SSL接続はプロキシされません。ただし、Opera MiniはNokiaブラウザのようにSSL接続もプロキシします)。

tlsproxyman-in-the-middle
11
D.W.

Nokiaが使用するシステムでは、Nokiaサーバーは man-in-the-middle攻撃 を実行します(Nokiaは実際には「攻撃」という用語を好まないため拒否しますが、これは技術的にはまだです。 MitM)。彼らのサーバーは、たとえ少しでも、解読されたデータを取得します。したがって、Nokiaが攻撃者である場合、Nokiaが勝ち、CRIME攻撃のような手の込んだゲームをプレイする必要はありません。したがって、この回答では、Nokiaは正直なプレーヤーであり、そのサーバーはハッキングされていないと想定しています。問題は、部外者がノキアのサーバーを乗っ取らずに、モバイルブラウザーに対して犯罪のような攻撃を実行できるかどうかです。これはいくつかの事柄に依存します。

ただし、最初に、 Nokiaのブラウザが更新された であり、新しいバージョン(1月11日現在)が実行されなくなったことに注意する必要がありますHTTPS接続でのMitM。これはおそらく、「悪い広報活動」であり、修正が必要なMitMの使用に関するニュース項目への応答です。したがって、以下で言うすべては暗黙の過去形で理解する必要があります。これはもう適用されません。

また、私はNokiaの携帯電話を所有していないこと、およびここでは「Web上」で説明されている内容、特にGaurang K Pandyaのブログに基づいて推論していることに注意してください。

1.傍受はどのように行われますか?

Webトラフィックを体系的にプロキシする場合、いくつかの方法があります。 1つの方法は、ブラウザとプロキシの間で独自のプロトコルを定義することです。通常のWeb標準(HTTPおよびHTML)とはかなり異なる可能性があります。これが Opera Mini の機能です。ページのレンダリングはOperaサーバーで行われ、resultが送信されます)ブラウザに。

どうやら、ノキアのブラウザはこのように動作しません。代わりに、Wiresharkで取得したネットワークトレースは、ブラウザーとNokiaのサーバー間の接続が完全に正常であることを示しています SSL/TLS ハンドシェイク。さらに、プロキシは、プロキシが制御する特別なCAによって発行された偽のサーバーの証明書を生成します。プロキシが偽の証明書の作成に悩まされているということは、ブラウザがその証明書を通常の証明書であるかのように検証することを意味します。 DNSクエリの分析は、ブラウザがターゲットサーバーのIPアドレスを取得しようとせず、Nokiaのサーバーのみを取得しようとしていることを示しています。Nokiaのサーバーは、ブラウザが本当の名前で認識しています。これは、次の設定を強く示唆しています。

  • ブラウザは「通常のブラウザ」であり、特別な独自のプロトコルを実装していません。
  • ブラウザーは、Nokiaのサーバーを汎用プロキシとして使用するように構成されています(CONNECTメソッドを RFC 2817 、セクション5.2および5.3で説明)。
  • ブラウザが認識する「トラストアンカー」のセットでは、サーバー証明書を検証するために、Nokiaが制御する「特別なCA」を使用します。

この種類のセットアップは、既存のプロトコルとソフトウェアを再利用できるため、経済的に言えば理にかなっています。また、大部分は、クライアントで何も変更せずにサーバーで非傍受に切り替えることができます。 (Nokiaが実際にアップグレードをプッシュしたのは少し奇妙です。どうやら、彼らは今ではまだ特定されていないプロトコルでHTTPを介してSSLをトンネルします。これはさらに調査する価値があります。)

2.どのような圧縮ですか?

ブラウザが「通常のブラウザ」であると仮定すると、圧縮の使用が標準的なスキームに従うことは理にかなっています。 HTTPSトラフィックに圧縮を適用するには、2つの標準的な方法があります。

  1. HTTPレベル での圧縮。リクエストとレスポンスのbodyは、いくつかのアルゴリズムで圧縮できます。通常、「deflate」と「gzip」です(後者は前者の非常に軽いラッパーであり、ほぼ同じ圧縮を提供します)比率- RFC 1951 および RFC 1952 を参照)。

  2. SSLレベル での圧縮。これは、トンネルを介して送信されるすべての適用可能なバイトに適用されます。特にHTTPSの場合、リクエストヘッダーと本文の両方をカバーします。ここでも、「deflate」が使用されます。

SSLレベルの圧縮はどちらも実装が簡単です(そのためにHTTPヘッダーを解析する必要がないため、バイトを圧縮するだけです---そして通常 [〜#〜] ssl [〜#〜] - libraries はすでにサポートされています)、より良い圧縮率が得られる可能性があります(HTTPレベルの圧縮とは異なり、連続するヘッダーと本文の間で繰り返されるシーケンスを利用できるため)。 NokiaがSSLレベルの圧縮を使用したことはもっともらしく思われます。

それは、Nokiaの電話(つまり、私ではない)を持っている人(そして、ここ数日でアップグレードされた電話ではない人)が確認できます。 SSLレベルの圧縮は、ハンドシェイクの最初のステップでアクティブになるため、サーバーからのServerHelloメッセージを確認するだけで十分です。この時点ではまだ暗号化は行われていません。 Wiresharkはそれを行うことができます。

もちろん、プレーンなSSLレベルの圧縮は CRIME攻撃 が必要とする正確です。

したがって、私の暫定的な結論は、Nokia MitM /圧縮システムがブラウザを離れることがもっともらしいであることですCRIME攻撃に対して脆弱です(実際には、システムを変更した2日前までleft攻撃)。

3.攻撃を実際に実行できるか?

CRIME攻撃は、攻撃者が悪意のあるJavascriptをクライアントがロードするページに挿入する能力およびを利用して、被害者のブラウザから出現し、誘導されるデータストリームを監視します。ターゲットサーバーに向けて。これは通常、攻撃者が被害者またはターゲットサーバーの近くにいる必要があることを意味します。私たちの場合、SSL付き圧縮は携帯電話とNokiaのサーバーの間にあり、Nokiaのローカルネットワークは正直でクリーンであると想定しました。したがって、攻撃者は被害者の近くで行動しなければなりません。

Gaurang K PandyaはWiFiを使用しています。彼の電話は基本的なラップトップコンピューターまたはタブレットのように動作します。多くのスマートフォンユーザーは、Wi-Fiが安価(WiFiの使用量は1か月の3Gクォータには含まれません)、多くの場合高速で、携帯電話のバッテリーが軽いため、可能な限りWiFiを使用しています。したがって、多くのスマートフォンは、オープンWiFiネットワークやクレデンシャルが既知のWiFiネットワークを検索し、フォールバックとしてのみ3Gネットワ​​ークを使用するように設定できます。

WiFiは、CRIMEが構築するリダイレクトトリックの影響を受けやすいことが知られています。これは特に簡単です。攻撃者はオープンWiFiホットスポットを実行するだけです。すぐ近くの電話は、そのホットスポットが非常に明確な信号を持っていると認識し、それに接続します。すべてのデータパケットが攻撃者のホットスポットを通過する場合、HTTPページのロードを傍受し、悪意のあるJavascriptペイロードを挿入して、CRIMEを実行することが簡単になります。エンドゲーム。

スマートフォンが3Gを使用している場合、状況はさらに困難になります。 Javascriptペイロードの挿入は、さまざまなトリック(HTMLメールなど)で想定できます。ただし、SSLで暗号化されたストリームを監視する部分はより困難です。 3G接続は、通常 [〜#〜] kasumi [〜#〜] ブロック暗号で暗号化されます。重要な点は、CRIMEはすべて暗号化されたデータのlengthに関するものであるということです。 SSLレコードを参照する必要は厳密にはありません。攻撃者はこれらのレコードのlengthを知る必要があるだけです。レコードがKASUMIで暗号化されるという事実は、その長さを隠しません(特に、UMTSでは、KASUMIは カウンターモード で使用されるため、暗号化されたデータの長さを保持します)。ビットレベルの精度)。さらに細かいのはフレームの細分性です。無線ネットワークはデータを個別のatomicフレームに分割します。これにより、攻撃者が必要とする長さ情報の一部が隠されます。ただし、フェージングで修復できます:攻撃者は隠されたリクエストの長さを変更して、圧縮がしきい値になるようにします(つまり、圧縮成功、つまり推測されたCookieバイトが1つ多いということは、SSLレコードが1フレーム少ないことを意味します)。微調整はおそらく繊細さの問題でしょう。

また、3Gインターセプトとは、 スキャナー を使用し、ノイズ内のターゲットスマートフォンパケットを認識することを意味します。電話は非常に頻繁に周波数をホップします。ある特定の電話をたどると、次にどこにジャンプするかがわかり、その情報は暗号化されます。 3Gについては、CRIME攻撃のコンテキストでこれを克服できるかどうかについては十分に知りません。

4.まとめ

Nokiaの「制度上のMitM」はCRIMEに対して脆弱でしたか? おそらく

最近のアップグレードで修正されましたか? おそらく

Opera Miniも脆弱ですか?おそらくオフではありませんオフロードレンダリングであるため、JavaScriptはブラウザ自体で実行されません。サーバー上ですが、CRIMEバリアントが引き続き適用される場合があります。

6
Thomas Pornin