Semana de dulces aterradores: KRACK y ROCA

Lo que necesita saber y lo que debe hacer

No es casualidad que Halloween caiga en octubre. Los humanos tenemos una mayor percepción del miedo en esta época del año; es una especie de respuesta vestigial al acortamiento de los días. ¿En qué mes se produjeron las caídas de mercado más inexplicables en Wall Street? Octubre. Si Halloween no hubiera sido originalmente en octubre, lo habríamos trasladado allí, donde se sentía más natural. Octubre también es el mes de concientización sobre la ciberseguridad.

Entonces, es doblemente perfecto que esta semana no tengamos una horrible vulnerabilidad de protocolo del tipo "¡Dios mío, Internet está roto!", sino dos vulnerabilidades del tipo "¡Dios mío, Internet está roto!". Se estrenó nada menos que el mismo día: el lunes 16 de octubre.

Lo que es aún peor es que las vulnerabilidades podrían acumularse entre sí de una manera horrible, como verás.

KRACK: Ataque de reinserción de claves contra WiFi WPA2

El investigador de seguridad belga Mathy Vanhoef publicó un ataque contra clientes WiFi que utilizaban el protocolo de autenticación WPA2. Se puede engañar al cliente objetivo para que se una a una red WiFi duplicada y luego obligarlo a instalar una clave de cifrado nula (en blanco), lo que le permite al atacante asumir una posición de intermediario.

Vanhoef explica el ataque KRACK de forma sucinta en el sitio de vulnerabilidad con marca y logotipo krackattacks.com . Le recomendamos encarecidamente que vea el breve vídeo que realizó Vanhoef demostrando el ataque.

Una vez que el atacante ha logrado la posición de intermediario entre el cliente y el punto de acceso, puede usar la vieja herramienta sslstrip para engañar al navegador del cliente para que envíe contraseñas sin cifrar. El ejemplo utiliza credenciales de match.com (por diversión), por lo que Vanhoef te acaba de dar todo lo que necesitas para espiar los hábitos de citas de tu ex. ¡Justo a tiempo para Halloween! [Es broma, no hagan esto.]

El lector astuto estará pensando: “¡Oye, las redes inseguras son la razón por la que tenemos protección SSL! Entonces todavía estamos a salvo, ¿verdad?

Bueno, la otra vulnerabilidad aterradora publicada, coincidentemente, el mismo día que KRACK, tiene que ver con claves débiles generadas desde dispositivos criptográficos de alta seguridad. ¡Qué!

ROCA – El regreso del ataque de Coopersmith (CVE-2017-15361)

La última vulnerabilidad de SSL/TLS es ROCA: el regreso del ataque del Coppersmith. Ars Technica tiene el mejor artículo que hemos visto hasta la fecha sobre el alcance y el impacto de ROCA. ROCA afecta la generación de claves RSA públicas/privadas realizada en condiciones de tiempo limitado donde el software de Infineon intenta tomar un atajo llamado “prime rápido” para aproximarse a dos primos grandes.

ROCA afecta al software asociado a los chipsets Infineon que suelen utilizarse en tarjetas inteligentes y entornos integrados de alta seguridad (informática confiable). Como estamos en octubre, por supuesto estos conjuntos de chips se encuentran en hardware con certificación FIPS 140-2 y CC EAL 5+, ambas son soluciones por las que pagas decenas de miles de dólares para mantener tus claves privadas, bueno, privadas. El error de Infineon hace que la clave privada sea prácticamente factorizable una vez que un atacante conoce la clave pública (lo que ocurre casi siempre, porque es pública y está incorporada en los certificados, etc.).

A un atacante le costaría entre 20.000 y 40.000 dólares en tiempo de CPU factorizar su clave privada de 2048 bits. Sin embargo, si el atacante es un Estado-nación, eso no es un gran impedimento para ellos. El costo de factorizar una clave de 1024 bits es de solo unos 50 dólares: el costo de dos cervezas en un partido de los Yankees. Según una investigación realizada por el propio F5 Labs, solo el 7% de Internet todavía utiliza claves tan pequeñas. Ataques como ROCA son exactamente la razón por la que todos actualizamos a 2048 bits, ¿verdad? Bien por nosotros. Las claves ECC no son vulnerables.

Hasta ahora, la gran mayoría de las claves vulnerables están asociadas con tarjetas inteligentes, pero los investigadores han encontrado un puñado de claves TLS y Github vulnerables. Todavía no hay información sobre las claves DNSSEC de 1024 bits vulnerables; eso sería terrible, ya que los atacantes podrían entonces firmar sus propios datos de zona maliciosa.

Curiosamente, es prácticamente gratuito e instantáneo comprobar si una clave es vulnerable a ROCA. Si los módulos de clave pública se ajustan a 38 primos pequeños de una determinada manera, entonces es probable que sean vulnerables. Los investigadores de ROCA han proporcionado herramientas tanto en línea como fuera de línea para que usted pueda verificar sus claves SSL/TLS, IPSec y SSH.

Dado lo fácil que es comprobar la vulnerabilidad, predecimos que los navegadores pronto le advertirán si está visitando un sitio que utiliza una clave vulnerable a ROCA. Eso lo escuchaste de nosotros primero.

Ataque KRACK + ROCA: ¿Cuál es el peor escenario posible?

Esto es como escribir el guión de una película de Halloween. Imagínate que estás en un entorno de alta seguridad (oficina de gestión de espionaje). Tus enemigos son los peores enemigos del mundo; piensa en S.P.E.C.T.R.E. o algo similar.

Uno de sus operativos conecta su portátil con Windows 10 a la wireless network de su oficina de Estambul. Lo que él no sabe es que un contraagente S.P.E.C.T.R.E. está falsificando el Wi-Fi y enviando señales de canal CSA a su computadora portátil. En cuestión de segundos, la computadora portátil de su agente se enruta a través del punto de acceso de los contraagentes. Su agente activa su SSL/VPN (desafortunadamente no el de F5) para acceder a algunos datos corporativos de alto secreto en la sede central.

El contraagente ya ha utilizado sus capacidades de estado-nación para factorizar la clave privada SSL/VPN de la vulnerabilidad ROCA. Puede descifrar todo lo que su agente esté descargando desde el servidor de alto secreto. ¡Además, el agente del mostrador obtiene la contraseña de match.com de su agente!

¿Crees que este peor escenario no podría suceder? Han sucedido cosas más raras. [tos, <stuxnet>, tos, <eterno azul>].

KRACK y ROCA: ¿Eres vulnerable?

Hardware y software de F5 Networks: No vulnerable. F5 no está en el negocio inalámbrico. Si bien en teoría es posible utilizar nuestra plataforma TMOS como punto de acceso, gracias a Dios nadie lo hace. Para KRACK, consulte la declaración oficial de KRACK de F5 Networks SIRT.

F5 Networks definitivamente está en el negocio de las claves SSL/TLS. También en este caso los equipos y el software de F5 no son vulnerables. Utilizamos los chipsets Infineon en algunos dispositivos, pero no utilizamos su generación de claves. Vea la declaración oficial de ROCA de F5 Networks SIRT.

Su equipo (KRACK): Vulnerable, pero… KRACK ataca el lado del cliente de una conexión WiFi. Por lo tanto, en cierto sentido, realmente no importa si sus puntos de acceso están parcheados o no. Acordamos que de todas formas debes parchar tus puntos de acceso (buena práctica de seguridad), pero eso no protegerá a tus usuarios de KRACK. No es necesario cambiar tus contraseñas WiFi WPA2; nunca fueron parte del problema y cambiarlas no afectará nada.

Su equipo (ROCA): Lo ideal sería que conociera todos los certificados SSL/TLS asociados a su empresa. Decimos “idealmente” porque rara vez ocurre así; ahora las unidades de negocio traen sus propios certificados todo el tiempo. Si dispone de una solución de gestión de certificados sólida e integral, probablemente ya esté familiarizado con todo esto. De lo contrario, el socio de F5, Venafi, puede escanear su red en busca de claves SSL/TLS. Si necesita buscar certificados rápidamente, vaya a la base de datos del proyecto de Transparencia de Certificados ( crt.sh ) y busque los certificados de su organización. Luego utilice las herramientas de prueba ROCA para ver si esas claves públicas son vulnerables. 

Tus empleados. Apple arregló iOS y MacOS en un parche oculto hace algunas versiones (aún no dicen cuál). Los clientes Android y Linux parecen ser los más vulnerables. Los clientes de Microsoft también son vulnerables. Su mayor prioridad para KRACK deben ser sus empleados.

Soluciones F5 relevantes

Para los clientes de F5 hay dos soluciones de seguridad relevantes contra KRACK y ROCA. El primero es a través del Administrador de tráfico local (LTM) BIG-IP de F5, el módulo principal que realiza el descifrado SSL/TLS y el equilibrio de carga. Las claves LTM normalmente no son vulnerables a ROCA (a menos que se hayan generado en otro lugar y se hayan importado a LTM; consulte a continuación para obtener información sobre las pruebas).

LTM puede aplicar la seguridad de transporte estricta HTTP (HSTS), que indicará a todos los navegadores que siempre utilicen SSL/TLS cuando se conecten a sus aplicações. Es una casilla de verificación. Compruébalo. HSTS por sí solo mitigará los peores aspectos de KRACK.

• Hoja de datos de LTM
• Seguridad de transporte estricta HTTP

La segunda defensa, con más capas, es BIG-IP Access Policy Manager (APM) y su producto de punto final asociado, BIG-IP Edge Client. Juntos, crean una VPN SSL/TLS segura que tiene protección de puntos finales y un motor de políticas sofisticado para garantizar que sus empleados se conecten a los recursos corporativos de forma segura. Es compatible con todas las plataformas populares: Android, Windows, iOS y MacOS. APM también tiene federación, por lo que obtienes SSO gratis.

• Hoja de datos de APM
• Hoja de datos del cliente Edge

Los usuarios en ciertos entornos de alta seguridad pueden tener los productos F5 WebSafe y MobileSafe. WebSafe protege las transacciones frente a un servidor. Este último es una API de herramientas móviles para crear aplicações más seguras que se conectan al anterior. La protección más relevante que estos dos pueden proporcionar es el cifrado de capa de aplicação (ALE). ALE utiliza claves RSA temporales para cifrar asimétricamente las contraseñas de los usuarios antes de enviarlas a través de la red. MobileSafe también proporciona una función de protección contra suplantación de DNS que debería ayudar a frustrar el ataque Man-in-the-Middle proporcionado por KRACK.

• Hoja de datos de WebSafe
• Ficha técnica de MobileSafe

Tu lista de tareas pendientes de Halloween

Además de elegir tu disfraz de Halloween (sugerencia: el Kraken podría ser apropiado este año), tienes algunos elementos que agregar a tu lista de cosas por hacer para KRACK y ROCA.

• Duplique su apuesta por su solución SSL/VPN. Si su cuenta actual no tiene autenticación multifactor (MFA), reemplácela por una que sí la tenga. MFA evitará que los atacantes utilicen credenciales comprometidas a través de KRACK para acceder a servicios corporativos.
• Habilite la seguridad de transporte estricta HTTP en su administrador de tráfico local F5 para combatir la herramienta sslstrip. Abra un ticket con su equipo de red si son ellos quienes lo respaldan (es muy probable).
• Para los clientes de WebSafe, habilite el cifrado de capa de aplicação para los campos confidenciales en sus aplicaciones web críticas.
• Para los clientes de MobileSafe, implemente la detección de suplantación de DNS y la validación de certificados.
• Audite los certificados de su organización para detectar la vulnerabilidad de ROCA. Utilice Venafi u otro escáner de certificados SSL si es necesario.
• Consulte la base de datos del proyecto de Transparencia de Certificados ( crt.sh ) para ver los certificados emitidos para su organización.
• Distribuir parches del sistema operativo a las computadoras portátiles y los teléfonos móviles de los empleados.
• Caducar contraseñas de usuario. Supongamos que sus contraseñas podrían haber sido comprometidas, especialmente para usuarios de Android o cualquier usuario que invoque el protocolo “ActiveSync”.

Nuestro sitio de inteligencia sobre amenazas, F5 Labs , y nuestra comunidad de desarrolladores, DevCentral , continúan analizando estos temas y pondrán a disposición materiales adicionales según corresponda. Si tiene más preguntas sobre las dos vulnerabilidades o cualquiera de las soluciones que hemos mencionado anteriormente, no dude en ponerse en contacto con un representante de F5 .

En una nota relacionada, el equipo DevCentral de F5 ha publicado un video que explica con más detalle la vulnerabilidad KRACK, y hay comentarios adicionales disponibles en la siguiente publicación de F5 Labs: Una nueva amenaza podría pasar desapercibida en las políticas BYOD