Mengingat kerentanan FREAK TLS, bagaimana saya dapat menonaktifkan suite cipher yang tidak aman secara manual di Safari?

10

Sebuah kelompok riset bernama SMACK telah merilis kerentanan yang dikenal sebagai FREAK yang dapat digunakan untuk serangan man-in-the-middle (MITM). Kerentanan ini disebabkan oleh hantu tua yang dibuat oleh Pemerintah AS (NSA, lebih khusus) di mana, pada tahun lalu, mereka meyakinkan beberapa organisasi untuk menggunakan kunci yang lebih lemah, yang dikenal sebagai kunci tingkat ekspor untuk perangkat lunak apa pun yang akan digunakan di luar perbatasan. dari USA. Sementara penggunaan kunci yang kuat tersebar luas sekarang, beberapa server masih memiliki dukungan untuk kunci yang lebih lemah.

Grup menemukan bahwa kerentanan ini dapat dieksploitasi dengan menggunakan klien dan membuat koneksi melalui kunci yang lemah. Setelah kunci dihasilkan oleh server, kunci tersebut digunakan kembali hingga server dimulai ulang yang berpotensi berbulan-bulan. Grup dapat memecahkan kunci server lemah ini dalam 7,5 jam menggunakan Amazon EC2. Setelah ini di-crack, berpotensi semua komunikasi dapat diturunkan untuk menggunakan kunci yang lemah dan MITM'ed.

Serangan tersebut terutama ditujukan pada klien OpenSSL (misalnya Android) dan klien Apple TLS / SSL (Safari) bersama dengan server web yang rentan tetapi tidak dengan Firefox, Chrome atau IE.

Bagaimana saya dapat menonaktifkan beberapa atau semua Cipher Suites tidak aman secara manual di sisi klien dengan misalnya mengedit beberapa file konfigurasi di Safari, menggunakan ekstensi Safari yang sesuai atau memodifikasi biner secara langsung untuk segera memperbaiki kerentanan terutama dalam versi Safari yang lebih lama mungkin tidak diperbarui oleh Apple ? Apakah mungkin?

Suites Cipher yang dimaksud adalah:

CipherSuite TLS_RSA_EXPORT_WITH_RC4_40_MD5         = { 0x00,0x03};
CipherSuite TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5     = { 0x00,0x06};
CipherSuite TLS_RSA_EXPORT_WITH_DES40_CBC_SHA      = { 0x00,0x08};
CipherSuite TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA   = { 0x00,0x0B};
CipherSuite TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA   = { 0x00,0x0E};
CipherSuite TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x11};
CipherSuite TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x14};
CipherSuite TLS_DH_anon_EXPORT_WITH_RC4_40_MD5     = { 0x00,0x17};
CipherSuite TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA  = { 0x00,0x19};

dan mungkin lebih.

klanomath
sumber
1
Sejauh yang saya tahu tidak dapat dilakukan - Anda harus menunggu patch Apple, dan mungkin menggunakan Firefox atau Chrome sampai tersedia jika Anda berada di jaringan publik.
Mike Scott
1
Ada diskusi yang bagus di Macintouch.com tentang ini. Hasilnya adalah Mike benar.
Steve Chambers

Jawaban:

2

Safari pada OS X menggunakan Transportasi Aman untuk SSL / TLS, implementasi yang sama yang tertaut dalam cURL, App Store, dll. Transportasi Aman tidak memiliki konfigurasi pengguna yang tersedia. Oleh karena itu, tidak mungkin untuk memodifikasi suite sandi Safari.

Bagaimanapun, Apple baru-baru ini merilis Pembaruan Keamanan 2015-002 yang memperbaiki masalah ini.

Dampak: Penyerang dengan posisi jaringan istimewa dapat mencegat koneksi SSL / TLS

Deskripsi: Transportasi Aman menerima kunci RSA singkat sesaat, biasanya hanya digunakan dalam suite sandi RSA kekuatan ekspor, pada koneksi yang menggunakan suite sandi RSA kekuatan penuh. Masalah ini, juga dikenal sebagai FREAK, hanya memengaruhi koneksi ke server yang mendukung suites cipher suites RSA, dan diatasi dengan menghapus dukungan untuk kunci RSA sesaat.

CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, dan Jean Karim Zinzindohoue dari Prosecco di Inria Paris

Anda dapat memeriksa klien Transport Aman dengan sesuatu seperti curl "https://www.howsmyssl.com/a/check" | tr ',' '\n',. Seperti yang ditunjukkan oleh seseorang, sebaiknya gunakan Firefox atau Chrome yang menggunakan NSS .


sumber