BLOG

Gruselige Süßigkeiten-Woche: KRACK und ROCA

F5 Miniaturansicht
F5
Veröffentlicht am 19. Oktober 2017

Was Sie wissen und tun müssen


Es ist kein Zufall, dass Halloween im Oktober ist. Zu dieser Jahreszeit haben wir Menschen ein gesteigertes Angstempfinden; es ist eine Art rudimentäre Reaktion auf die kürzer werdenden Tage. In welchem Monat kam es an der Wall Street zu den meisten unerklärlichen Börseneinbrüchen? Oktober. Wenn Halloween ursprünglich nicht im Oktober gewesen wäre, hätten wir es dorthin verschoben, wo es sich natürlicher anfühlte. Der Oktober ist zufällig auch der Monat der Sensibilisierung für Cybersicherheit.

Daher ist es doppelt perfekt, dass wir diese Woche nicht eine schreckliche „OMG, das Internet ist kaputt!“-Protokoll-Sicherheitslücke hatten, sondern gleich zwei „OMG, das Internet ist kaputt!“-Sicherheitslücken. Ausgerechnet am selben Tag veröffentlicht: Montag, 16. Oktober.

Was noch schlimmer ist: Wie Sie sehen werden, könnten sich die Schwachstellen gegenseitig auf schreckliche Weise verstärken.

KRACK: Schlüssel - Reinsertion- Angriff gegen WPA2-WLAN

Abbildung 1 – KRACK-Logo

Der belgische Sicherheitsforscher Mathy Vanhoef veröffentlichte einen Angriff auf WiFi-Clients unter Verwendung des WPA2-Authentifizierungsprotokolls. Der Zielclient kann dazu verleitet werden, einem duplizierten WLAN-Netzwerk beizutreten und dann zur Installation eines Null- (leeren) Verschlüsselungsschlüssels gezwungen zu werden, wodurch der Angreifer eine Man-in-the-Middle-Position einnehmen kann.

Vanhoef erklärt den KRACK-Angriff prägnant auf der mit Logo versehenen Schwachstellen-Site krackattacks.com . Wir empfehlen Ihnen dringend, sich das kurze Video anzusehen, das Vanhoef zur Demonstration des Angriffs erstellt hat.

Sobald der Angreifer die Man-in-the-Middle-Position zwischen Client und Zugriffspunkt erreicht hat, kann er das gute alte Tool „sslstrip“ verwenden, um den Client-Browser dazu zu bringen, Passwörter im Klartext zu senden. Im Beispiel werden (aus Spaß) die Anmeldedaten von match.com verwendet, sodass Vanhoef Ihnen gerade alles gegeben hat, was Sie brauchen, um die Dating-Gewohnheiten Ihres Ex auszuspionieren. Gerade rechtzeitig zu Halloween! [Wir machen Witze, tu das nicht.]

Der aufmerksame Leser wird denken: „Hey, wegen unsicherer Netzwerke haben wir SSL-Schutz!“ Also sind wir noch sicher, oder?“

Die andere beängstigende Sicherheitslücke, die zufälligerweise am selben Tag wie KRACK bekannt wurde, hat mit schwachen Schlüsseln zu tun, die von hochsicheren Kryptogeräten generiert werden. Wot!

ROCA – Rückkehr des Coopersmith-Angriffs (CVE-2017-15361)

Die neueste SSL/TLS-Sicherheitslücke ist ROCA – die Return of Coppersmith’s Attack. Ars Technica bietet den bislang besten Bericht über Umfang und Auswirkungen von ROCA. ROCA betrifft die Generierung öffentlicher/privater RSA-Schlüssel unter zeitlich begrenzten Bedingungen, wobei die Infineon-Software versucht, eine Abkürzung namens „Fast Prime“ zu nehmen, um zwei große Primzahlen zu approximieren.

ROCA betrifft die mit den Chipsätzen von Infineon verbundene Software, die häufig in Chipkarten und eingebetteten Hochsicherheitsumgebungen (Trusted Computing) verwendet werden. Da wir heute Oktober haben, sind diese Chipsätze natürlich in FIPS 140-2- und CC EAL 5+-zertifizierter Hardware zu finden. Für beides Lösungen zahlen Sie Zehntausende von Dollar, um Ihre privaten Schlüssel, nun ja, privat zu halten. Der Infineon-Fehler führt dazu, dass der private Schlüssel praktisch faktorisierbar ist, sobald ein Angreifer den öffentlichen Schlüssel kennt (was fast immer der Fall ist, da er öffentlich ist und in Zertifikaten usw. eingebettet ist).

Das Zerlegen Ihres 2048-Bit-Privatschlüssels würde einen Angreifer 20.000 bis 40.000 US-Dollar an CPU-Zeit kosten. Handelt es sich bei dem Angreifer allerdings um einen Nationalstaat, stellt dies für ihn keine große Abschreckung dar. Die Kosten für die Faktorisierung eines 1024-Bit-Schlüssels betragen nur etwa 50 US-Dollar – der Preis von zwei Bier bei einem Yankees-Spiel. Laut den eigenen Untersuchungen von F5 Labs werden nur noch 7 % des Internets mit so kleinen Schlüsseln betrieben. Angriffe wie ROCA sind genau der Grund, warum wir alle auf 2048-Bit aktualisiert haben, oder? Gut für uns. ECC-Schlüssel sind nicht anfällig.

Bisher ist die überwiegende Mehrheit der anfälligen Schlüssel mit Smartcards verknüpft, Forscher haben jedoch auch eine Handvoll anfälliger TLS- und Github-Schlüssel gefunden. Es gibt noch keine Informationen zu anfälligen 1024-Bit-DNSSEC-Schlüsseln. Das wäre furchtbar, da Angreifer dann ihre eigenen Daten für die bösartige Zone signieren könnten.

Abbildung 2 (aus roca/detect.py) – Der Test für ROCA ist ganz einfach

Interessanterweise ist die Überprüfung, ob ein Schlüssel für ROCA anfällig ist, grundsätzlich kostenlos und sofort durchführbar. Wenn die öffentlichen Schlüsselmoduli in einer bestimmten Weise 38 kleinen Primzahlen entsprechen, ist der Code wahrscheinlich anfällig. Die ROCA-Forscher haben sowohl Online- als auch Offline-Tools für Sie bereitgestellt, mit denen Sie Ihre SSL/TLS-, IPSec- und SSH-Schlüssel überprüfen können.

Da sich die Sicherheitslücke so einfach überprüfen lässt, gehen wir davon aus, dass Browser Sie bald warnen werden, wenn Sie eine Site mit einem für ROCA anfälligen Schlüssel aufrufen. Das haben Sie zuerst von uns gehört.

KRACK + ROCA-Angriff: Was ist das Worst-Case-Szenario?

Das ist, als würde man das Drehbuch für einen Halloween-Film schreiben. Stellen Sie sich vor, Sie befinden sich in einer Hochsicherheitsumgebung (Spionagemanagementbüro). Ihre Feinde sind die schlimmsten Feinde der Welt; denken Sie an S.P.E.C.T.R.E. oder Ähnliches.

Einer Ihrer Mitarbeiter verbindet seinen Windows 10-Laptop mit dem drahtlosen Netzwerk in Ihrem Büro in Istanbul. Er ahnt nicht, dass ein S.P.E.C.T.R.E.-Gegenagent das WLAN vortäuscht und CSA-Kanal-Beacons an seinen Laptop sendet. Innerhalb von Sekunden wird der Laptop Ihres Agenten durch den Zugangspunkt der Gegenagenten geleitet. Ihr Agent aktiviert sein SSL/VPN (leider nicht das von F5), um in der Zentrale auf streng geheime Unternehmensdaten zuzugreifen.

Der Gegenagent hat seine staatlichen Kapazitäten bereits genutzt, um den privaten Schlüssel des SSL/VPN aus der ROCA-Sicherheitslücke zu extrahieren. Er kann alles entschlüsseln, was Ihr Agent vom streng geheimen Server herunterlädt. Außerdem erhält der Schalteragent das Match.com-Passwort Ihres Agenten!

Sie glauben, dieses Worst-Case-Szenario könnte nicht eintreten? Es sind schon seltsamere Dinge passiert. [hüstel, <Stuxnet>, hüstel, <Eternal Blue>].

KRACK und ROCA: Sind Sie gefährdet?

Hardware und Software von F5 Networks: Nicht anfällig. F5 ist nicht im Wireless-Geschäft tätig. Obwohl es theoretisch möglich ist, unsere TMOS-Plattform als Zugangspunkt zu verwenden, macht das Gott sei Dank niemand. Informationen zu KRACK finden Sie in der offiziellen KRACK-Erklärung von F5 Networks SIRT.

F5 Networks ist definitiv im Geschäft mit SSL/TLS-Schlüsseln tätig. Auch hier sind die Geräte und Software von F5 nicht anfällig. Wir verwenden die Chipsätze von Infineon zwar in einigen Geräten, jedoch nicht deren Schlüsselgenerierung. Siehe die offizielle ROCA-Erklärung von F5 Networks SIRT.

Deine Ausrüstung (KRACK): Anfällig, aber ... KRACK greift die Clientseite einer WLAN-Verbindung an. In gewisser Weise spielt es also keine Rolle, ob Ihre Zugriffspunkte gepatcht sind oder nicht. Wir sind uns einig, dass Sie Ihre Zugriffspunkte trotzdem patchen sollten (gute Sicherheitspraxis), aber das schützt Ihre Benutzer nicht vor KRACK. Sie müssen Ihre WPA2-WLAN-Passwörter nicht ändern. Sie waren nie Teil des Problems und ihre Änderung hat keine Auswirkungen.

Ihre Ausrüstung (ROCA): Idealerweise kennen Sie alle mit Ihrem Unternehmen verbundenen SSL/TLS-Zertifikate. Wir sagen „idealerweise“, weil dies selten der Fall ist; Geschäftseinheiten bringen mittlerweile ständig ihre eigenen Zertifikate mit. Wenn Sie über eine robuste und umfassende Lösung zur Zertifikatsverwaltung verfügen, sind Sie wahrscheinlich bereits mit diesem Thema vertraut. Wenn nicht, kann F5s Partner Venafi Ihr Netzwerk nach SSL/TLS-Schlüsseln durchsuchen. Wenn Sie schnell nach Zertifikaten suchen müssen, gehen Sie zur Datenbank des Certificate Transparency-Projekts ( crt.sh ) und suchen Sie nach den Zertifikaten Ihrer Organisation. Verwenden Sie dann die ROCA-Testtools, um zu sehen, ob diese öffentlichen Schlüssel anfällig sind. 

Ihre Mitarbeiter. Apple hat vor einigen Versionen iOS und MacOS in einem Stealth-Patch repariert (sie sagen noch nicht, welche). Android- und Linux-Clients scheinen am anfälligsten zu sein. Auch Microsoft-Clients sind anfällig. Ihre höchste Priorität bei KRACK sollten Ihre Mitarbeiter sein.

Relevante F5-Lösungen

Für F5-Kunden gibt es zwei relevante Sicherheitslösungen gegen KRACK und ROCA. Die erste erfolgt über den BIG-IP Local Traffic Manager (LTM) von F5, das primäre Modul, das die SSL/TLS-Entschlüsselung und den Lastausgleich durchführt. LTM-Schlüssel sind normalerweise nicht anfällig für ROCA (es sei denn, sie wurden anderswo generiert und in LTM importiert; Testinformationen finden Sie unten).

LTM kann HTTP Strict Transport Security (HSTS) erzwingen, wodurch alle Browser angewiesen werden, beim Herstellen einer Verbindung mit Ihren Anwendungen immer SSL/TLS zu verwenden. Es ist ein Kontrollkästchen. Überprüfen Sie es. Nur HSTS wird die schlimmsten Aspekte von KRACK abmildern.

Die zweite, mehrschichtigere Verteidigung ist der BIG-IP Access Policy Manager (APM) und das zugehörige Endpunktprodukt, der BIG-IP Edge Client. Zusammen erstellen sie ein sicheres SSL/TLS-VPN mit Endpunktschutz und einer ausgereiften Richtlinien-Engine, um sicherzustellen, dass Ihre Mitarbeiter eine sichere Verbindung zu Unternehmensressourcen herstellen. Es unterstützt alle gängigen Plattformen – Android, Windows, iOS und MacOS. APM verfügt auch über eine Föderation, sodass Sie SSO kostenlos erhalten.

Benutzer in bestimmten Hochsicherheitsumgebungen verfügen möglicherweise über die F5-Produkte WebSafe und MobileSafe. WebSafe sichert Transaktionen vor einem Server. Letzteres ist eine API für mobile Toolkits zum Erstellen sichererer Anwendungen, die eine Verbindung mit Ersterem herstellen. Der wichtigste Schutz, den diese beiden bieten können, ist die Anwendungsschichtverschlüsselung (ALE). ALE verwendet temporäre RSA-Schlüssel, um Benutzerkennwörter asymmetrisch zu verschlüsseln, bevor sie über das Netzwerk gesendet werden. MobileSafe bietet außerdem eine DNS-Spoofing-Schutzfunktion, die dabei helfen soll, den Man-in-the-Middle-Angriff von KRACK zu vereiteln.

Ihre Halloween-To-Do-Liste

Abgesehen von der Auswahl Ihres Halloween-Outfits (Vorschlag: der Kraken könnte dieses Jahr angebracht sein), müssen Sie einige Dinge zu Ihrer To-do-Liste für KRACK und ROCA hinzufügen.

  • Verdoppeln Sie Ihre SSL/VPN-Lösung. Wenn Ihr aktuelles Konto nicht über die Multi-Faktor-Authentifizierung (MFA) verfügt, ersetzen Sie es durch ein Konto, das dies tut. MFA verhindert, dass Angreifer mit über KRACK kompromittierten Anmeldeinformationen auf Unternehmensdienste zugreifen.
  • Aktivieren Sie HTTP Strict Transport Security auf Ihrem F5 Local Traffic Manager, um das Tool „sslstrip“ zu bekämpfen. Eröffnen Sie ein Ticket bei Ihrem Netzwerkteam, wenn dieses für den Support zuständig ist (sehr wahrscheinlich).
  • Aktivieren Sie für WebSafe-Kunden die Anwendungsschichtverschlüsselung für vertrauliche Felder in Ihren kritischen Web-Apps.
  • Implementieren Sie für MobileSafe-Kunden die DNS-Spoofing-Erkennung und Zertifikatsvalidierung.
  • Überprüfen Sie die Zertifikate Ihrer Organisation auf die ROCA-Sicherheitslücke. Nutzen Sie bei Bedarf Venafi oder einen anderen SSL-Zertifikatsscanner.
  • Suchen Sie in der Datenbank des Certificate Transparency-Projekts ( crt.sh ) nach Zertifikaten, die für Ihre Organisation ausgestellt wurden.
  • Verteilen Sie Betriebssystem-Patches auf die Laptops und Mobilgeräte der Mitarbeiter.
  • Lassen Sie Benutzerkennwörter ablaufen. Gehen Sie davon aus, dass ihre Passwörter kompromittiert worden sein könnten, insbesondere bei Android-Benutzern oder Benutzern, die das „ActiveSync“-Protokoll aufrufen.


Unsere Threat-Intelligence-Site F5 Labs und unsere Entwickler-Community DevCentral beschäftigen sich weiterhin mit diesen Themen und werden bei Bedarf weiteres Material zur Verfügung stellen. Wenn Sie weitere Fragen zu den beiden Schwachstellen oder zu einer der oben besprochenen Lösungen haben, zögern Sie nicht, einen F5-Vertreter zu kontaktieren .

In einem ähnlichen Zusammenhang hat das DevCentral-Team von F5 ein Video gepostet, in dem die KRACK-Sicherheitslücke näher erläutert wird. Weitere Kommentare sind im folgenden Beitrag von F5 Labs verfügbar: Neue Bedrohung könnte durch die KRACK-Richtlinien in BYOD-Richtlinien schlüpfen