Defenderse de ataques al cifrado SSL: Desactivar RC4

Imagen de squirrel
Enviado por squirrel en

Foros: 

Por squirrel

Mientras continúa el goteo de informaciones acerca de hasta dónde se extienden los tentáculos de la NSA y sus intentos de debilitar los sistemas de cifrado, incluyendo el posible conocimiento de serias vulnerabilidades en algoritmos de cifrado en uso actualmente, a los usuarios nos queda poco más que una sensación de impotencia ante la magnitud del desafío. Sin embargo, lo cierto es que podemos hacer algunas cosas para mitigar los efectos y algunas de ellas son más simples de lo que podríamos pensar. Hoy quiero presentaros una de ellas: Desactivar el uso de RC4 en las conexiones HTTPS para usar cifrados más seguros...

El algoritmo RC4 es un algoritmo de cifrado de flujo que, si bien todavía no se considera totalmente roto, sí está marcado como deprecated, es decir, no apto para nuevos usos, debido a vulnerabilidades como ésta (paper en PDF). Aún así, es usado muy frecuentemente en las conexiones HTTPS dado que es un algoritmo muy rápido. La forma de cambiar el tipo de cifrado que estamos usando en nuestro navegador es sorprendentemente simple en muchos navegadores por lo que los pasos que voy a explicar, si bien son específicos para Mozilla Firefox, serían equivalentes en otros navegadores. La excepción es Internet Explorer, que dificulta cada uno de los pasos (comprobación y cambio de configuración), pero puede hacerse como se indica aquí (enlace por Tokamak).

El primer paso es comprobar el tipo de conexión que estamos usando. Para ello, hacemos clic en el candado que aparece al lado de la URL en la barra de direcciones. Nos aparecerá una ventanita de información básica y un botón que pone "Más información". Hacemos clic en él y nos lleva a una pantalla donde, al fondo, nos muestra el tipo de cifrado que está usando. En nuestro ejemplo, como podemos ver, es RC4 de 128 bits.

A continuación vamos a cambiar la configuración para desactivar el uso de RC4. Para ello debemos ir a la configuración avanzada del navegador, empleando como ruta la URL about:config. Nos saldrá una página con una lista de preferencias y sus valores. En la barra de búsqueda de esta página, justo por encima de la lista, escribimos rc4. Con ello estamos filtrando las opciones, quedándonos sólo con las que tienen "rc4" en el nombre. A continuación haremos doble clic en cada una de las opciones que nos salgan y tengan un valor true, de modo que pasen a tener valor false como indica la captura.

Ya está, hemos acabado. Cerramos el navegador, lo volvemos a abrir, iniciamos alguna conexión HTTPS y, si repetimos la comprobación del principio, podremos ver cómo el algoritmo de cifrado ha cambiado a otro considerado más seguro, como AES o Camellia, como en las capturas.

Imágenes: 

Datos del cifrado antes del cambio: RC4
Ventana de opciones
Datos del cifrado después del cambio: AES
Datos del cifrado después del cambio: Camellia

Pues no parece funcionar siempre...

Acabo de probarlo.
Me parece que no todas las https ofrecen alternativas ¿No?.

La web de ING DIRECT me ofrece un mensaje tipo "Ha ocurrido un error durante una conexión a ing.ingdirect.es.

No se puede comunicar de forma segura con la otra parte: no hay algoritmos de cifrado comunes. (Código de error: ssl_error_no_cypher_overlap)

RC4 y BEAST

El problema de esto es que firefox sólo soporta TLSv1, por lo que es vulnerable a un ataque BEAST usando otros protocolos de cifrado, ese es uno de los motivos por los que se usa RC4, que se supone que es inmune.

http://serverfault.com/questions/315042/safest-ciphers-to-use-with-the-beast-tls-1-0-exploit-ive-read-that-rc4-is-im

RC4 se usaba

Que yo recuerde, se recomendaba usar RC4 para mitigar ataques como BEAST sin necesidad de actualizar la versión de TLS usada (que seria la opción correcta), tanto en el navegador del usuario como en el servidor. Puede que algunas webs den problemas por que el servidor fuerce a usar RC4.

RC4 NO está roto

Ojo, RC4, aunque tenga algunas vulnerabilidades no es un método de cifrado roto. La principal vulnerabilidad se basa en la predictibilidad de los primeros bytes, y resulta muy simple solventarla: así, el autor de RC4, Ron Rivest, confirma que basta con descartar los primeros 256 bytes o bien utilizar una función hash para preprocesar el vector de inicialización. El hasing en RC4 se aplica, por ejemplo, en el protocolo SSL., así que no hay ninguna razón para aconsejar que se desactive el uso de RC4 uso en las conexiones https.

Insisto: RC4 no es un método de cifrado roto, más allá de la vulnerabilidad descrita, no hay más problemas, podéis revisar las publicaciones académicas, a ver si hay algún ejemplo de ruptura.

Claro que las agencias de inteligencia pueden tenerlo roto, pero tanto de lo mismo podríamos decir para AES, así que estamos en lo mismo.

Me encanta RC4 por su sencillez rapidez y facilidad de implementación, y que tenga declaradas ciertas vulnerabilidades, a mi modo de ver lo hace aún mejor: sabes por donde pueden venir los problemas, es como esos programas que desarrollas, y que durante el período de pruebas no acaban de dar ningún fallo, y tienen que fallar por algún lado si no, huelen a cuerno quemado. Como AES.

Ondia! pues tienes razón, sí

Ondia! pues tienes razón, sí señor, desconocía este ataque, el paper es del 8 de Julio del 2013, es recientísimo ayer por la tarde, como quien dice.

Pues muy grave, incluso teniendo en cuenta la necesidad de capturar más de 16.000.000 de sesiones para empezar a descifrar algo, lo más lógico es lo que proponías: cambiar de algoritmo de cifrado; lástima, me gustaba.

De cualquier forma este ataque viene a apoyar lo que estaba diciendo, en contra de esa omnisciencia que las teorías de la conspiración suponen a las agencias gubernamentales:

Seguro que se acaba descubriendo alguna [vulnerabilidad] para AES, porque por fuertes que sean las agencias, fuera de ellas en el mundo académico hay muchísimos más matemáticos.

Ha quedado demostrado.

de ilusión también se vive

perdonen, pero el temita es ya algo cansino y les crea ilusiones que son irreales. La NSA espía directamente y masivamente desde la fibra óptica a través de las grandes operadoras de cable internacionales. Pueden ser objeto de una man-in-the-middle masivo y automatizado en el recorrido de la información, y nadie de ustedes se van a enterar si les están pinchando. Además tanto AES como e resto de cifrados, han sido precisamente validados por la NSA: La NSA tiene además acceso a las llaves de los certificados que el servidor habrá comprado en una compañía norteamericana porque todas lo son.

Por lo tanto no existe el cifrado para un ciudadano común frente para la NSA. Es así de sencillo. Internet es uan red vigilada. Dejen ya de fantasear eligiendo su cifrado inexpugnable y no se cansen más.

¿Por qué se habrá extendido tanto la credulidad?

Y usted; ¿cómo es que sabe todo eso? No me diga, por favor, que se lo ha dicho alguna «entidad intangible» o «ilusoria» porque eso, desde el punto de vista del pensamiento crítico -para mí un principio fundamental que no sólo evita el engaño, sino el autoengaño-, es muy poco fiable. Espero sabrá disculparme pero, si no me dice cómo lo sabe; no voy a hacerle caso.

He comprobado que, en efecto, tal como se dice en este valiosísimo artículo el algoritmo RC4 es un algoritmo de cifrado de flujo que, si bien todavía no se considera totalmente roto, sí está marcado como DEPRECATED, es decir, no apto para nuevos usos. Así que muchas gracias por el aviso y por las demás sugerencias, Sr. o Sra. Ardilla.

Desde mi punto de vista, desactivar el algoritmo RC4 y solicitar a las entidades afectadas unos mínimos de seriedad en la seguridad del protocolo HTTPS forma parte de mi actividad normal como usuario de dichos servicios contractualmente regulados y es mi derecho hacerlo y mi deber estar adecuadamente informado de las novedades que para estos delicados asuntos se vayan produciendo en el día a día.

¿Por qué se habrá extendido tanto la credulidad?

«Follow the money»

Claro, como los algoritmos de

Claro, como los algoritmos de cifrado no son públicos... Hay cientos de miles de mentes y de doctorandos en matemáticas y ciencias de la información por todo el ancho mundo que saben que se harían con un prestigio inmortal e internacional, si rompiesen cualquiera de los sistemas de cifrado habituales. ¿Por qué no se publican vulnerabilidades? Pues porque de momento seguramente que no son conocidas para nadie. Cuando las hay, ya lo creo que se publican, véanse las de RC4, un algoritmo absolutamente fundamental para el comercio electrónico ¿alguien mató o extorsionó a su descubridor?. Al contrario, muy agradecido el mismo autor de RC4, pues permitió solventar dicha vulnerabilidad. Seguro que se acaba descubriendo alguna para AES, porque por fuertes que sean las agencias, fuera de ellas en el mundo académico hay muchísimos más matemáticos.

Si es cierto, y es sabido por todos desde hace una década, al menos, que las agencias espían masivamente el tráfico de internet, no hay ningún indicio que lleve a concluir que controlan, tambien, los sistemas de cifrado. Al contrario, les vendría muy bien que todo el mundo se creyerá que sí pueden. Si el cifrado es un engorro, y, encima, lo pueden romper: ¿para qué molestarse? Toda esa rumorología podría ser interesada: qui bono ?

Y hombre, pues claro que se vive de de ilusiones, la de las conspiraciones es precisamente la más acendrada.

Aunque sea así

No basta con pinchar las fibras. Hay que estar en todas y cada una de las negociaciones de certificados y tener a punto uno específico emitido para cada sitio al que quieres suplantar. No dudo que pueda hacerse para monitorizar un tráfico concreto que se esté investigando pero en ningún caso de manera masiva y automatizada.

Ni siquiera creo que tengan la capacidad de en tiempo real hacer un tratamiento exhaustivo de todo el tráfico que cruza dichas fibras. Eso equivaldría a la suma de todos los procesos servidores y clientes (los millones de integrantes de esas comunicaciones) que estuvieran hablando entre ellos. Dado que además estamos en un escenario de MitM sería imposible que dicha actividad no afectara al rendimiento de las comunicaciones en cada una de ellas individualmente. Imagina pues la suma. Imposible que eso pasara desapercibido.

claws-mail

Hola squirrel,

Yo tengo configurado el correo con claws-mail y sufro el mismo problema con las cuentas de gmail. Todo funciona bien y de pronto un día me saltan las alarmas informando del cambio de certificado, y así continúa una o dos semanas. Estuve indagando y encontré ésto:
http://blog.txipinet.com/2012/01/15/claws-mail-y-la-renovacion-de-certif...

Eso sí, cada vez que uso el correo no puedo evitar acordarme del monkey-in-the-middle...

La confianza

Todo el montaje de certificados siempre estará basado en la confianza, tanto en el buen hacer de las autoridades certificadoras (no emitiendo certificados fraudulentos) como en la imposibilidad de generar un certificado válido fuera de ellas (que parezca firmado por ellas sin estarlo). Si el certificado que recibes te da OK en todo no nos queda otra que aceptarlo puesto que no tendremos una verificación mejor de la identidad del sitio. Si ya no vamos ni a fiarnos de eso por que tememos que la NSA se ha metido en medio suplantando al sitio al que nos conectamos, pues mejor no hagamos ningún trámite privado en internet.

error

es conocido que el nombre de PRISM tiene también que ver también con la forma de prisma que al parecer tiene la tecnología de esnifado masivo que salió a la luz hace tiempo por el pinchado de cables transoceánicos que efectuaban submarinos y esnifaban terabytes por segundo.

¿Notó usted algo?. ¿Le iba un poco más lento?. jaja... por favor...

Squirrel: ¿puedes poner en el

Squirrel: ¿puedes poner en el cuerpo de la noticia el enlace a la página donde detallan el ataque el?. Merece resaltarse algo de esa importancia: http://www.isg.rhul.ac.uk/tls/ y también el enlace al pdf del paper: http://www.isg.rhul.ac.uk/tls/RC4biases.pdf

Las últimas versiones de Internet Explorer usan AES 128 por defecto, los usuarios no tienen que hacer nada , y es posible subirla a AES 256: aquí se detalla el procedimiento.

Y Gmail?...

Gmail, de la mega corpo Google no cambiar a 258 bits. Casualidad? Sigue usando 128 b. Lo mismo para el buscador de la firma. No cabe aclarar que Facebook tampoco. Muy buena info. Soy técnico de PC y lo implementaré en todas las PC's de gente que desconfíe de las 'seguridades' de internet. saludos!

opinar

Texto puro

  • No se permiten etiquetas HTML.
  • Saltos automáticos de líneas y de párrafos.
By submitting this form, you accept the Mollom privacy policy.