TigerTeam - suomalainen tietoturvablogi

Tässä poikkeuksellisesti englanninkielisessä kirjoituksessamme käsittelemme maailmalla julkaistua iPhonen salausavaimien laitteesta lukemiseen tarkoitettua työkalua:

iOS devices iPhone, iPad and iPod Touch support file system encryption but it is not actually protecting data very well. Apple’s documentation states that data is protected at rest, even when the device is lost or stolen. Unfortunately, that doesn’t hold. Even though algorithm might be decent there are weaknesses in the design. Due to these weaknesses it is possible to gain unauthorized access to the data stored on devices left unattended even when the device is protected with passcode. With help of simple tools data can be compromised within minutes. Naturally some of these tools are freely available.

Starting from iOS 4 the operating system encrypts all files on the device. The encryption key for the file system is stored on the device. The problem is, the encryption key is not using any passphrase and encryption is always opened automatically without any user input when the device starts up. It mostly gives you just a false sense of security. Luckily, emails and attachments stored on device are still protected further with user’s passcode key if passcode lock is enabled. This passcode key then protects emails when a device is locked and allows access only when user unlocks the device with passcode.

What is the role of passcode

It is possible to circumvent the normal iOS boot procedure and attach additional software to the operating system. One such method is jailbreaking and others exist that do not actually even write anything to the device storage. When circumventing the boot procedure it is then possible to install SSH server or other software to access data stored on the device even when it is locked with passcode. The passcode is not protecting because it simply locks the user interface and the files are accessed over network or USB connection behind the scenes. All the files apart from emails are readable. It then allows to copy valuable information such as call history, text messages, contacts, calendar and location history. Jailbreaking also allows installing some additional software such as tools to spy the victim. There are easy to follow instructions and tools available to perform the jailbreak and installing SSH server. This won’t take long and 15 minutes or less should be enough when properly prepared.

Now there’s one new method available. ElcomSoft has made tools to read the encryption keys from the device to access encrypted file system dumps. The advantage is that you can dump the encrypted file system to work on a bit-to-bit copy of data. It then gives you more time and possibility to access also data that is protected by user’s passcode key such as emails and attachments. However, you need to brute-force the passcode (four digits by default) or get access to escrow keys stored in iTunes that syncs with the device. It is then recommended to disable four-digit simple passcode and require complex passcodes much harder to brute-force.

Summary:

Should you leave iPhone unattended for a while most of your data could be compromised.

Lauri Kiiski works as a security consultant in Nixu’s Inspect business unit.

Parhaillaan meneillään olevaa SHA-3-kilpailua ja FIPS180-4-julkistusta koskevat uutiset herättävät kysymyksiä nykyisten tiivistefunktioiden (hash) tilasta: mikä on turvallinen, mitä niistä tulisi käyttää, mitä eri vaihtoehdoista tiedetään ja mitä lähitulevaisuus tulee ehkä muuttamaan.

Pureudutaanpa aluksi nykyisin salausmaailmassa käytössä oleviin tiivistefunktioihin ja siihen mitä niistä tiedetään:

Tiivistefunktiot ovat menetelmä kahden tietueen yhteneväisyyden toteamiseksi. Tämä tehdään yksisuuntaisella funktiolla, joka useimmissa tapauksissa antaa syötettä pienemmän vastauksen – tietoa siis menetetään. Tämän tuloksena funktioille on tunnusomaista ns. monesta-yhteen-periaate, jossa useasta eri syötteestä muodostuu sama tiiviste. Sama tilanne voi olla tarkistussummia laskettaessa – kahdella täysin eri tiedostolla onkin sama tarkistussumma. Tällaista tilannetta kutsutaan törmäykseksi, salaustermein kollisioksi (collision). Kasvattamalla tarkistussumman pituutta pienennetäänkin törmäyksen todennäköisyyttä.

Nykyään laajassa yleisessä käytössä on useita eri tiivistefunktioita:

MD5 (Message Digest 5) oli pitkään standardinomainen tiivistefunktio tuottaen 128-bittisiä tiivisteitä. Se kehitettiin vuonna 1991. MD5:ta käytetään verkossa vielä hyvin usein mm. tiedostojen alkuperän varmistamiseen, vaikka kryptologit ovat suositelleet käytöstä luopumista jo vuodesta 1996 lähtien. Jo vuonna 2004 oli mahdollista luoda helposti saatavilla olevalla laitteistolla törmäyksiä alle tunnissa ja MD5:tä alettiin pitää turvattomana. Kuitenkin vaihtoprosessin vaikeus on osoittanut kuinka tärkeää pitkän tähtäimen suunnittelu tiivistefunktion valinnassa ja käyttöönotossa on. Tällä hetkellä peruskannettavalla voi laskea tällaisia törmäyksiä sekunneissa ja tarkoitukseen valjastetuilla erikoislaitteistoilla hyökkäys vie alle sekunnin.

Hyppy 90-luvun alkuun

SHA-1 puolestaan on 160-bittinen tiivistefunktio. Se pohjautuu alun perin vuonna 1993 nimellä Secure Hash Standard julkaistuun tiivistefunktioon, josta korjattiin paria vuotta myöhemmin sisäistä pakkaustoimintoa koskeva virhe. Yleisyydessä SHA-1 pitää kakkossijaa heti MD5:n jälkeen ja vaikka se on MD5:tä turvallisempi, on olemassa lukuisia teoreettisia hyökkäyksiä, joilla murtaminen helposti saatavilla olevaa laitteistoa hyödyntäen on mahdollista. Siirtyminen turvallisempiin tiivistefunktioihin on suositeltavaa.

SHA-2 on tarkkaan ottaen kokoelma keskenään samantyyppisiä tiivistefunktioita, joiden tuotos on 224-, 256-, 384- tai 512-bittinen. Siksi puhutaan myös muunnoksista SHA-224, SHA-256, SHA-384- ja SHA-512.

FIPS180-4-toteutus laajentaa valikoimaa hieman, jotta mm. 64-bittisen nykylaitteiston suorituskyky voidaan ottaa paremmin huomioon.

Bittisyyskirjo helpottaa tulevaisuudessa edessä olevaa algoritmin vaihtoa, koska olemassa oleviin protokolliin ei tarvitse tehdä suuria muutoksia. Nykykäyttöjärjestelmät tukevat algoritmia laajasti ja se on suositeltavin algoritmi useimmissa tapauksissa, kunhan tiivisteiden pituus valitaan tulevaisuutta silmällä pitäen oikein.

SHA-3-funktiota ei ole itse asiassa vielä julkaistu.

Meneillään on parhaillaan kilpailu, jossa SHA-2:n seuraajaa etsitään. Nämä tiivistefunktiot eivät perustu aikaisempaan SHA-perheeseen.

Tietoa kilpailumenettelystä on saatavissa yhdysvaltalaisen NIST:n (Kansallinen standardointi- ja teknologiainstituutti The National Institute of Standards and Technology) verkkosivuilta ja lopullinen valinta on odotettavissa ensi vuonna. Olipa valittava tiivistefunktio mikä tahansa suositeltava siirtymäjakso SHA-2:sta tulee kestämään viidestä kymmeneen vuotta.

Mikä sitten valita?

Jos olet ottamassa käyttöön uutta tietojärjestelmää tai valitsemassa tiivistefunktiota useimmissa tapauksissa SHA-2-perheen valinta on suositeltavaa. Järjestelmän elinkaari tulee suunnitella huolellisesti. Kuten historia on osoittanut tiivistefunktion valinnalla on vaikutuksia vielä 20 vuoden kuluttuakin, näinhän kävi MD5:n kohdalla. On oltava selkeä suunnitelma tilanteeseen kun – ei siis jos – valittu funktio osoittautuu alttiiksi murtamiselle. SHA-1:tä tulisi käyttää vain rajoitetusti, yleensä taaksepäin yhteensopivuuden takaamiseksi. MD5:ta ei kuitenkaan tule käyttää missään tapauksessa!

Inspect-yksikön tietoturvakonsultti Samuell “Sam” Lavitt on aikaisemmin kirjoittanut blogissamme näkemyksiään kehittyneistä evaasiotekniikoista. Käännös: Juha-Matti Laurio

Pilvilaskenta on vienyt salasanojen murtamisen aivan uudelle tasolle. Ensin avattiin WPAcracker.com, joka lupaa murtaa WPA- ja WPA-PSK-salauksen keskimäärin 20 minuutissa 17 dollarin hintaan – siis reilulla kympillä. WPAcracker.com tarjoaa 400 prosessorin klusterin ja satojen miljoonien WPA-salasanojen sanakirjan kenen tahansa maksavan asiakkaan käyttöön.

Nyt on salasanojen testaajille julkaistu uusi lelu, kun Amazon avasi hiljattain uuden NVIDIA Tesla M2050 GPU -prosessoreihin perustuvan pilvipalvelunsa.

Tietoturva-asiantuntijat demosivat uuden klusterin salasanojen murtokykyä pian avaamisen jälkeen. Työkaluksi oli valittu Cryptohaze Multiforcer, joka asennettiin CUDA-rajapintaa hyväksi käyttäen EC2:n GPU -klusterin ajettavaksi. 14 SHA-1-hasheillä suojatun, lyhyen (yhdestä kuuteen ASCII-tekstimerkkiä) salasanan murtaminen klusterilla kesti 49 minuuttia. Hinta? Alle 2 dollaria. Salasanojen murtoa massoille todellakin.

Onko salalauseesi riittävän vaikea?

Nyt viimeistään on aika ryhtyä käyttämään pitkiä salasanoja. Itse asiassa suosittelen unohtamaan salasanat ja siirtymään salalauseiden käyttöön:

esimerkiksi “TÄMÄ_on_minun_43_merkkiä_pitkä_salalauseeni”.

Vaikka SHA-1-algoritmi on osoitettu heikoksi kollisiohyökkäyksiä vastaan jo jonkin aikaa sitten, tarjoaa sekin yhä huomattavaa suojaa, jos salalause vain on riittävän pitkä.

Salalauseen pituus toimii tehokkaana suojana brute force -hyökkäyksiä vastaan, mutta salalauseet on suojattava myös niin sanottuja sanakirja- ja rainbow table -hyökkäyksiä vastaan. Varmista, että käytät salalauseessasi erikoismerkkejä kirjainten ja numeroiden lisäksi. Käytä harvinaisia kieliä (esim. Cobol, suomi) tai vaihtoehtoisesti haasta murtajat käyttämällä esimerkiksi heksadesimaalisalasanoja. Mitä vain, mutta pyri keksimään mahdollisimman ainutlaatuisia tapoja kirjoittaa tekstisi tavalla, jolla vältetään salalauseidesi löytyminen murtajien sanakirjoista ja ennalta lasketuista rainbow table -taulukoista. Tällaisten murtokeinojen käyttö hash-suojattujen salasanojen murtamisessa on tietojärjestelmien laskutehon kasvettua kovinkin yleistynyt.

Entä käyttääkö SHA-2:ta?

Mitä erilaisiin hash-algoritmeihin tulee, kävimme mielenkiintoisen keskustelun viime viikolla kollegani kanssa täällä Nixussa block cipher -algoritmien käytöstä hash-summien laskemiseksi erilaisille syötteille. Siitä lisää blogissa ehkä myöhemmin, mutta mainittakoon vielä, että SHA-1-algoritmiin ei tulisi enää luottaa arkaluontoisen tiedon salauksessa. Kuten yllä mainittiin on algoritmi osoittautunut haavoittuvaksi ns. collision-hyökkäyksille jo useita vuosia sitten. Niinpä suosittelenkin SHA-2-algoritmien käyttöä toistaiseksi ennen kuin SHA-3-algoritmi julkaistaan näillä näkymin vuonna 2012.

Ville Hollanti työskentelee tietoturvakonsulttina Nixun Inspect-yksikössä. Hänellä on useiden vuosien kokemus tunkeutumisenestopalveluiden kehittämisestä ja toteuttamisesta sekä tietoturvakonsultoinnista yritystasolla.

NIST (The National Institute of Standards and Technology) kertoo raportissaan SHA-3:n valinnan evaluointikriteereistä sekä yleisistä valintaperusteista ensimmäisen kandidaattikierroksen jälkeen. Kriteerejä ovat algoritmin turvallisuus, kustannustehokkuus ja suorituskyky sekä toteutusmalli.

21-sivuinen raportti NISTIR 7620 on ladattavissa PDF-muodossa tästä osoitteesta.

Toiselle kandidaattikierrokselle pääsi kesällä 14 algoritmia kaikkiaan 51 ehdokkaasta.

Tunnettuja hyökkäysmenetelmiä ehdokkaille seuraa itävaltalainen ECRYPT-wiki.

Kerroimme viime kuun puolella SHA-3:n seuraajan valintaprosessin etenemisestä. Eilen uutta tutkimustietoa on saatu AES-salausmenetelmän purkamisesta.

AES:stä (Advanced Encryption Standard) on olemassa kolme eri versiota avainpituuden mukaan - AES-128, AES-192 ja AES-256. Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich ja Adi Shamir ovat nyt julkaisseet paperin, jossa uutta hyökkäysmenetelmää käsitellään.

Linkki PDF-dokumenttiin (17 sivua) on tässä.

Tutkijoiden mukaan myös AES-256:ta vastaan voidaan hyökätä lähes samalla kierrosmäärällä (round), jota ennen on käytetty AES-128:aa vastaan.

Täytyykö AES:ään tukeutuvien käyttäjien sitten olla huolestuneita uusista tutkimustuloksista? Salausmenetelmiin perehtynyt tietoturvaguru Bruce Schneier tutustui ranskalais-, luxemburgilais- ja israelilaistutkijoiden paperiin jo ennen sen julkaisua ja piti sitä hyvin korkealuokkaisena. Kuten Schneierkin toteaa ei mihinkään paniikkiin kuitenkaan ole aihetta, ei edes AES-256:n osalta.

Aikaisemmin tutkimustyönsä ovat julkaisseet (.pdf) Alex Biryukov ja Dmitry Khovratovich, molemmat Luxemburgin yliopiston algoritmi-, salaus- ja tietoturvalaboratorion alaisesta CryptoLUX-ryhmästä. Biryukov vetää samalla kyseistä ryhmää.

19-sivuinen dokumentti on nimetty Related-key Cryptanalysis of the Full AES-192 and AES-256.

Dokumentteihin perehtyminen edellyttää aikaisempaa kokemusta kryptografiasta ja AES-hyökkäysmenetelmistä.

SHA-1-algoritmin (Secure Hash Algorithm), tarkemmin SHA-1-tiivistefunktion purkamisessa on otettu hiljattain uusia edistysaskelia. Mistään aivan tuoreesta algoritmistahan ei nyt puhuta, sillä SHA-1:n julkaisu juontaa juurensa jo vuoteen 1995, jolloin NSA julkisti algoritmin.

Purussa tarvitaan nyt luvun 2^52 verran operaatioita. Loppukesällä 2005 lukema oli vielä 2^63. Uuden tutkimuksen ovat julkaisseet australialaiset Cameron McDonald, Philip Hawkes ja Josef Pieprzyk.

Differential Path for SHA-1 with complexity O(252) -niminen dokumentti PDF-muodossa on ladattavissa täällä.

SHA-1:n seuraajan julkaisua on joka tapauksessa odoteltava vielä muutama vuosi.