Poprzedni Następny

Zbrodnia doskonała, czyli przemyt w ruchu X.509

Od tysięcy lat ludzie udoskonalają techniki przemytu. W XXI w., gdy informacja jest cenniejsza od złota, techniki jej przemycenia również wzrosły na znaczeniu. Specjaliści z Fidelisa odkryli nowy kanał przemytu informacji w certyfikatach TLS X.509, która nie pozostawia żadnych śladów. Sekret tkwi w tym, że specjaliści od bezpieczeństwa analizują ruch sieciowy. Co jednak, jeżeli do ruchu nie dojdzie? Jak to możliwe? Wyobraźmy sobie rutynowe spotkanie dwóch celników na granicy, podczas którego wymieniają się pakunkami, jednak żaden z nich nie przekracza granicy, a co za tym idzie nie powstaje ruch graniczny, który mógłby zostać zarejestrowany i wzbudzić podejrzenia.

Analogicznie Fidelis przedstawił metodę przemycania informacji podczas negocjowania parametrów bezpiecznej sesji (SSL handshake) w dobrze znanych certyfikatach TLS X.509. Wystarczy w przestrzeni certyfikatu przygotowanej do przekazania hash-u (MD5, SHA1, SHA256, SHa 384, SHA 512) umieścić złośliwe informacje. Serwer automatycznie zapisuje dane na dysku, ale ponieważ połączenie nie jest nawiązywane, z technicznego punktu widzenia żaden ruch nie jest rejestrowany. W prezentacji przedstawionej przez naukowców w ten sposób zostało przesłane popularne narzędzie hackerów Mimikatz. Fidelis, będąc krok przed atakującym, przygotował już reguły YARA, które wykrywają  anomalie w certyfikatach X.509 i blokują ten kanał przemycania informacji, zanim na dobre zostanie użyty przez przestępców.

Źródło: https://www.fidelissecurity.com/threatgeek/2018/02/exposing-x509-vulnerabilities