Noticia Apple Safari 7 se defiende de BEAST en OS X Mavericks

En el año 2011 en las conferencias Ekoparty en Buenos Aires, los investigadores en seguridad Thai Duong y Juliano Rizzo realizaron una demostración del exploit denominado BEAST, Browser Exploit Against SSL/TLS, utilizando para ello un Applet de Java. Antes de hablar de la noticia en sí, la mitigación de este ataque por parte del navegador de Apple, hablaremos de qué es BEAST y en qué afecta realmente a los usuarios. BEAST afecta a TLS 1.0 y SSL 3.0.

La mayoría de los sistemas de cifrado están basados en dos hechos fundamentales:
  • El atacante no conoce el mensaje que se envía por el canal.
  • El atacante no conoce la clave utilizada para cifrar el mensaje que circula por el canal.
En el mundo de la seguridad se conocía desde hace años que TLS/SSL era potencialmente vulnerable, fue enunciada por Phillip Rogaway en el año 2002. Por lo tanto BEAST no ha revelado ninguna cosa que no se supiera, pero ha demostrado con las acciones necesarias a llevar a cabo la explotación real de la vulnerabilidad, es más, BEAST ha conseguido realizar una prueba de concepto de algo teórico y que parezca "sencillo".

¿Cómo funciona BEAST?

En primer lugar el atacante debe insertar código en la sesión actual del navegador de la víctima, por ejemplo utilizando un iframe embebido en un sitio web. El código inyectado debe obligar al navegador de la víctima a incluir un fragmento conocido de texto sin formato. Es muy importante este hecho ya que servirá de código de estudio, a través del canal SSL.

Para llevar a cabo esta acción lo más sencillo sería utilizar, por ejemplo Javascript. El atacante debe capturar tráfico SSL de la víctima, por lo que lo más sencillo sería utilizar un ataque ARP Spoofing, en una red local IPv4, o con algún ataque en una red IPv6, por ejemplo, o algún tipo de rastreador. En este punto el atacante dispondrá de un ejemplo de texto sin formato y un fragmento cifrado con el cual se podrá llevar a cabo el criptoanálisis. El objetivo podría ser conseguir una cookie de sesión, una contraseña, etcétera.


Video 1: Ejemplo de Beast explotado con un Apple Safari 5

Recomendaciones

Las recomendaciones para mitigar el impacto de la vulnerabilidad son:
  • Debido a que el atacante necesita de tiempo para descifrar el mensaje, si la cookie de sesión se invalida antes de que el atacante consiga su objetivo, el ataque no tendrá éxito.
  • Cerrar la sesión correctamente al abandonar un sitio SSL.
  • Evitar la visita de recursos no seguros, es decir evitar la inyección de código, evitar el uso de una red no segura, donde pudieran haber "vecinos" o equipos adyacentes no fiables.
El nuevo Apple Safari 7 en OS X Mavericks

Apple ha habilitado una nueva característica en su reciente actualización de OS X Mavericks, la cual neutraliza los ataques criptográficos BEAST. La funcionalidad para mitigar este ataque en Apple Safari 7 estaba implemente en código desde principios de 2012, en la versión OS X Mountain Lion, pero no había sido habilitada hasta la nueva versión del sistema operativo OS X Mavericks 10.9.

Por otro lado, si se quieren habilitar las mitigaciones contra BEAST en OS X Mountain Lion en el navegador de Apple Safari, se debe ejecutar la siguiente instrucción y después reiniciar el navegador:
sudo defaults write /Library/Preferences/com.apple.security SSLWriteSplit -integer 2

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths - El lado del mal




Continúar leyendo...