kim tiedemann bloghoved

Kan vi ikke snart blive fri for IE6

Google har på deres sikkerhedsblog beskrevet en sårbarhed i SSLv3, som er en ret effektiv måde at fiske secure cookie informationer ud af en sikret https forbindelse. SSLv3 er efterhånden 15 år gammel, men Google beskriver at den stadig er meget brugt.

Illustration: Privatfoto

Det skræmmende ved sårbarheden er, at næsten alle browsere understøtter SSLv3 og en angriber kan ved at manipulere med netværkstrafikken tvinge browser/server ned på SSLv3 i den såkaldte downgrade dance. Så hvis serveren understøtter SSLv3, så er man sårbar overfor angrebet.

Hvad med de offentlige sites?

Der findes et nemt online tool til at checke, om en server understøtter SSLv3 og dermed om den er sårbar for PoodleBleed.

Her er en liste over offentlige sites, som pt. er sårbare:

  • borger.dk
  • jobnet.dk
  • nemlog-in.dk
  • skat.dk
  • e-boks.dk
  • nemadgang.dk
  • sundhed.dk

Hvorfor understøtter vi stadig SSLv3

Med 15 år på bagen burde vi have lagt SSLv3 i graven og udelukkende benytte nye og sikrere protokoller som TLS1.2. Så hvorfor har vi så ikke gjort det? Tilbage til overskriften på mit blogindlæg, så bunder det i understøttelse af gamle browsere, som ikke længere kan opgraderes. De kan enten ikke opgraderes på grund af det bagvedliggende operativsystem ikke understøtter nyere og sikrere protokoller eller fordi man ikke kan installere nye browserversioner på et gammelt operativsystem. I offentlige udbud har det været meget almindeligt at der stilles krav til understøttelse af Windows XP og IE6. Når det er gået vildt for sig er det kravene skruet op til IE8 på en Windows XP med service pack 3. Argumenterne har næsten altid været, at der internt i myndigheden stadig blev benyttet IE6 på Windows XP arbejdsstationer.

Hvis man deaktiverer SSLv3 på serveren vil der ikke længere kunne etableres en sikker SSL forbindelse med IE6. Det er prisen med mindre man vil supportere TLS_FALLBACK_SCSV, som forhindrer downgrade dance til SSLv3.

Fremtiden?

Vi ser heldigvis ikke længere krav om understøttelse af IE6 i offentlige udbud, men vi skal ikke meget mere end 1 år tilbage før det var meget normalt. Vi ser stadig krav om understøttelse af Windows XP og IE8 - jeg er godt klar over at der stadig er mange brugere derude på disse platforme, men der sker på bekostning af vores alle sammens sikkerhed. Vi er nødt til at understøtte gamle protokoller (som SSLv3 og SHA-1 certifikater) og vi er nødt at implementere en hel masse ekstra kode for at tingene fungerer i både moderne browsere og i gamle IE6(7,8). Mere kode betyder større risiko for fejl (herunder sikkerhedshuller), så det ville være dejligt hvis vi endegyldigt kunne lægge Windows XP, IE6(7,8) i graven og sammen bevæge os et trin op af stigen.

Opdateret 20141015-1421: www.sundhed.dk er faktisk også sårbar da den understøtter SSLv3 med block cipher.

Kilder:

Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Panton

At kalde det Poodlebleed er sku' lidt af en overdrivelse. Ro på. Ja, SSLv3 er gammel, og ja vi bør skifte væk fra det, og ja der er mulighed for at foretage aktive angreb på de enkelte SSL forbindelser for at få dem til at leake plaintext.

Men så stopper det her. Heartbleed var utroligt meget værre da den lækkede dele af serverens hukommelse, hvorfra man kunne udtrække andre brugeres session keys, SSL private keys, mm. - helt uden at skulle foretage aktivt MITM. Når folk kalde noget *bleed, så må vi forvente et angreb af samme kaliber. Det er der ikke tale om.

Kim Bjørn Tiedemann

Ja Heartbleed var helt klart værre, da der var tale om et remote angreb. I Cloudflare challenge så vi at det kunne lade sig gøre (dog med ret stor indsats i form af mange requests 100K-2.5M).

Men POODLE er dog alvorlig jf. https://www.dfranke.us/posts/2014-10-14-how-poodle-happened.html, da der ikke skal en så stor indsats til (1 i 256 chance for at dekryptere en byte) og en auth cookie er ikke så mange bytes:

In the context of web browser, if I have a man-in-the-middle position on the victim’s network and the secret I’m trying to steal is inside an HTTPS-only cookie, it’s easy for me to force the client to keeping resending the same message until this attack succeeds. All I have to do is wait for the victim to visit any plain-HTTP site, and insert an invisible iframe into it which runs some Javascript. The Javascript will keep making requests to site whose cookie I’m trying to steal, and I’ll keep tampering with each request as it occurs. Each failed attempt will result in the connection dropping and then being renegotiated with new key material, so each attempt has an independent 1-in-256 chance of succeeding. Once I’ve successfully determined one byte of the secret cookie, I then increase the length of the URL being requested by one, so that the next unknown byte is now positioned at the end of a block. I also the length of something after the cookie, such as the POST body, so that there is still a full block of padding at the end. I repeat my attack in this fashion until I’ve decrypted the entire cookie.

Uffe Seerup

Men det kræver fuld kontrol over personens forbindelse i første omgang?

Problemet er, at vi i en række situationer må acceptere at vi benytter forbindelser som går igennem potentielt fjendtlige stationer.

Det var det som https og certifikater skulle beskytte imod i første omgang. Med https og certificate authorities som vi stoler på (dét er en anden diskussion), så kan vi i hvert fald teoretisk gå igennem usikre netværk.

Poodlebleed betyder så, at hvis https rider på SSLv3 så er det uhyggeligt nemt at gætte indholdet.

Hvilket omsat til dagligdags konsekvenser betyder, at du aldrig bør udføre homebanking eller andet når du sidder på et (trådløst eller wired) som du ikke stoler på. Med andre ord: Lad være med at gøre noget på nettet.

Indtil vi kommer af med SSLv3.

Så jo - det er faktisk ret alvorligt.

Thue Kristensen

Men det kræver fuld kontrol over personens forbindelse i første omgang? Og hvis man har det, så vil der nok være andre angreb som er mere oplagte

Hvilke angreb skulle det være? - Jeg kan ikke se hvad det skulle være. Hvis vi taler om en højsikkerheds-side så som gmail, så bruger den jo TLS-udvidelser som gør for eksempel SSLstrip som Kim Bjørn Tiedemann nævner ubrugelig.

Og det er ganske normalt at andre potentielt har kontrol over din forbindelse. For eksempel hver gang du bruger en form for offentlig WIFI.

Henrik Biering Blogger

Vi har igennem nogen tid forsøgsvis "soft"-spærret for SSL v3 samt nogle svage ciphers (uden Forward Secrecy) på den måde at brugerne ved loginforsøg får en advarselsside op med opfordring til at skifte browser til en ny Chrome, Firefox eller Opera. Alternativt kan de vælge "Udsæt til senere - jeg er klar over risikoen", hvorefter de gives adgang til loginsiden.

Jeg checkede lige browser og OS på de seneste ca. 20, der røg i "SSLv3"-delen af fælden. Resultatet var:

MSIE 6.0; Windows NT 5.1 (Camoufleret Spider)
X11; Linux x86_64 (Camoufleret Spider)
MSIE 8.0; Windows NT 5.1
6.1.4 Safari; Mac OS X 10_8_5
MSIE 9.0; Windows NT 6.0
MSIE 8.0; Windows NT 5.1
MSIE 9.0; Windows NT 6.0
IE rv:11.0; Windows NT 6.1
Baiduspider/2.0
MSIE 8.0; Windows NT 5.1
MSIE 9.0; Windows NT 6.0
MSIE 9.0; Windows NT 6.0
IE rv:11.0; Windows NT 6.1
MSIE 6.0; Windows NT 5.1 (Anonymous Proxy)
MSIE 9.0; Windows NT 6.0
IE rv:11.0; Windows NT 6.1
MSIE 8.0; Windows NT 5.1
MSIE 9.0; Windows NT 6.0
MSIE 9.0; Windows NT 6.0
SMTBot/1.0; +http://www.similartech.com/smtbot
MSIE 9.0; Windows NT 6.1
Firefox/15.0.1, Windows NT 5.1
Safari 4.0 Mobile; iPhone OS 3_0

Procentdelen af brugere, der bliver stoppet pga at de ikke kan forbinde med TLS1.0 eller nyere passer fint med de 0,3%, der refereres til i Version2's artikel.

MEN det er kun en meget lille del (10%) af de stoppede, der anvender IE6 på WinXP (og derfor måske ikke kan opgradere til nyere browsere uden samtidigt at installere Service Packs til XP)

Flertallet fordeler sig pænt imellem IE8, IE9 og IE11 på XP, Vista og Win7.
(lidt bemærkelsesværdig er to af disse tilfælde relateret til to forskellige "EnergiMidt Infrastruktur A/S" lokaliteter).

Dertil kommer at man slipper for adskillige søgemaskiner af meget varierende lødighed ved at spærre for SSLv3

Endelig er der en enkelt Firefox og Safari/Iphone med loginforsøg fra samme franske IP inden for ca. 15 sekunder, som meget vel kunne være resultatet af et downgrade angreb på en ferierende dansk bruger.

Men hvad årsagen iøvrigt er til downgraden af IE8, IE9 og IE11 til SSLv3 (husnørden, IT-afdelingen eller udefrakommende), har jeg ikke nogen vurdering af.

Kim Bjørn Tiedemann

Jeg mener ikke at overskriften er misvisende. Efter alt hvad jeg har kunnet finde om denne sårbarhed, så burde kun IE6 blive ramt hvis du fjerner SSLv3. Jeg har testet på mit eget site (https://www.ssllabs.com/ssltest/analyze.html?d=tiede.dk) og i følge Qualys SSL labs test, så er burde IE >6 ikke have problemer med at handshake sig frem til TLS1.0 eller højere.

Hvilket site sidder du med? Har du prøvet at lave en Qualys test (https://www.ssllabs.com/ssltest/) og se, om der skulle være issues med de ciphers, som I tilbyder?

Der kan selvfølgelig godt være organisationer, som gennem en policy har slået TLS fra og derfor kun accepterer SSLv3 i IE. Men det håber jeg ikke er tilfældet :-)

Jens Hansen

"Argumenterne har næsten altid været, at der internt i myndigheden stadig blev benyttet IE6 på Windows XP arbejdsstationer."

Ja Xp er desværre først ved at dø helt ud nu (i de offentlige myndigheder jeg har arbejdet, eller arbejder) men det er sku en del år siden at IE6 døde som standard browser.

Og kender også hylekoret herinde hvis man fra offentlig side lukker af for en gammel teknologi..

Ud over det, spændene artikel.

Kim Bjørn Tiedemann

Du har ret i at det er nogle år siden at IE6 var standard platformen, men den var det længe (alt for længe). Nu er vi bare flyttet til næste standard platform, som i nogle udbud defineres som IE8. Mit argument er mere, at vi skal passe på med at holde for længe fast i gammel teknologi, for det udsætter os alle for risici.

Vi skal turde at tage springet - på trods af hylekor... Heldigvis bliver det nok nemmere efterhånden som MS browsere ikke længere er big bang releases bundet hårdt på en OS version.

Henrik Biering Blogger

Hvilket site sidder du med? Har du prøvet at lave en Qualys test (https://www.ssllabs.com/ssltest/) og se, om der skulle være issues med de ciphers, som I tilbyder?

Data er fra sitet Net-Safe der pt. primært tjener som logintjeneste til Heste-Nettet.

Vi har nu efter nogle måneders advarsler og konsekvensanalyse benyttet "Poodlebleed" som aktuel anledning til helt at lukke for SSLv3. Vi venter så lidt endnu med at fjerne den også omdiskuterede "TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)" da dette pt. vil koste yderligere ca. 0,7% brugere.

https://www.ssllabs.com/ssltest/analyze.html?d=net-safe.info

Som du kan se understøtter vi de samme ciphers, som tiede.dk, bortset fra at vi har fjernet ciphers uden understøttelse for forward secrecy med undtagelse af "TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)", som er nødvendig for XP med IE6 og IE8. Så 99,7 % af de besøgende logger fint ind på tværs af diverse browsere og devices. Og der er ingen udfald i SSL-labs referenceliste (bortset fra nu efter Poodlebleed: IE6)

Det er de resterende 0,3% brugere, der ikke kan forbinde med TLS1.0 eller bedre, der fordeler sig som vist i min første kommentar. Blandt disse er der altså f.eks. flere IE11 brugere som IE6 brugere.

Dette kunne i princippet skyldes at over 80% af de "normale" brugere (altså bots undtaget) blandt de spærrede har faket deres "User-Agent" streng. Men forklaringen er snarere - som det her anføres - at nogle brugere har anset at SSL3 måtte være bedre en TLS1.x og derfor fravalgt TLS. Det vil Google nu stoppe for i Chrome, og mon så ikke Microsoft følger efter, så SSL v3 også fjernes for alle, der får opdateringer til deres IE.

Kim Bjørn Tiedemann

Det er de resterende 0,3% brugere, der ikke kan forbinde med TLS1.0 eller bedre, der fordeler sig som vist i min første kommentar. Blandt disse er der altså f.eks. flere IE11 brugere som IE6 brugere.

Det er meget interessant og kunne muligvis forklares med en policy der er rullet ud fra nogle IT afdelinger eller misforståelse mellem SSLv3 i forhold til TLS1.x. Hvis man er meget paranoid, så kunne man frygte at der var tale om SSL proxy'er i nogle organisationer, som udsteder on-the-fly certifikater og taler SSLv3 over mod jeres server.

Henrik Biering Blogger

Og kender også hylekoret herinde hvis man fra offentlig side lukker af for en gammel teknologi..

I USA har SSL3 været forbudt til borgerrettede sider og ydermere TLS1.0 forbudt til internt brug i den offentlige sektor siden April 2014, selvom det tydeligvis ikke er alle deres IT-administratorer, der er blevet opmærksomme på det.

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf (side 9)

I Danmark burde det vel være Digitaliseringsstyrelsen, der stod for udgivelsen af sådanne krav.

Mads Bendixen

Det er bare et flueben der skal vinges af i IE6, så kan den bruge TLS 1.0. Det er nemt at lave en mini guide, hvis man vil stadig vil have IE6-brugere indenfor.

IE6 virker f.eks. ikke med nemlogin, selvom man har nyeste java 7 og IE8 brugere er overladt til sig selv når nemlogin skifter til javascript.

Per Gøtterup

SSLv3 er faktisk 18 år gammel, defineret i RFC 6101 i 1996. De 15 år er hvor længe den har været "deprecated" ifølge https://www.imperialviolet.org/2014/10/14/poodle.html .


Jeg testede lige min egen server og den er ikke sårbar.

Når jeg tænker efter så slog jeg SSLv2 og SSLv3 fra for længe siden af helt andre årsager. Ja, folk med IE6 kan ikke tilgå den, men det er en så forældet browser at den burde have været afskaffet forlængst.

Hvis man bruger apache2 så tilføj følgende lige efter hver forekomst af SSLEngine on: "SSLProtocol All -SSLv2 -SSLv3" og genstart apache2.

Maciej Szeliga

kan kravet om understøttelse af Windows XP og IE 8.X give anledning til yderligere undren...


Det undrer mig endnu mere at IE 8 ikke supporteres når den kører på en supporteret platform, hvor den er sidste (og btw. stadigvæk understøttede) version af IE.

Hvis nogen skulle undre så er det Windows Server 2003 R2 SP2 jeg taler om.

Log ind eller Opret konto for at kommentere