Een nieuwe aanvalsmethode richt zich op de Secure Socket Shell (SSH). Dit netwerkprotocol wordt ingezet om data-overdrachten te doen. Het protocol zou de veiligheid van de overdracht garanderen, maar dat wordt nu in vraag gesteld.
Onderzoekers zijn een nieuwe aanvalsmethode op het spoor die met het SSH-protocol knoeit. SSH of Secure Socket Shell gebruikt volgnummers om de integriteit en de volgorde van data aan te duiden tijdens online overdracht. Het protocol moet voorkomen dat derden de data kunnen inkijken of manipuleren tijdens de overdracht.
Nieuw onderzoek van de Duitse Ruhr-universiteit haalt alle zekerheden van dit protocol echter onderuit. De onderzoekers ontdekten namelijk een aanvalstechniek die het mogelijk maakt met de volgnummer te knoeien. Deze aanval kreeg de naam Terrapin.
Basis voor data-overdracht binnen bedrijven
Bedrijven gebruiken het SSH-protocol om bestanden te verzenden over het bedrijfsnetwerk. Het protocol is niet beperkt tot dit doeleinde en wordt ook ingezet voor het versturen van bestanden over het internet. De betrouwbaarheid van het protocol is dus belangrijk omdat het zoveel data dient te beschermen.
Terrapin is een manier om met het protocol te knoeien. Het speelt specifiek in op de handshake, ofwel het moment dat de verzender en ontvanger een connectie opzetten en er eerste veiligheidsfactoren worden opgezet. Door tijdens dit proces de volgnummers aan te passen, is het mogelijk data die wordt overgebracht te stelen zonder dat de verzender of ontvanger hier iets van opmerkt. De hacker voert met deze methode een aanvalstechniek uit die ook wel bekend staat als een ‘man-in-the-middle’-aanval.
De aanval zou wel beter werken op het ene encryptie-mechanisme dan op het andere. De encryptie-methoden die terugvallen op het ChaCha20-Poly1305- of CBC-mode ciphers met Encrypt-then-MAC, maken geen schijn van kans. De eerste methode maakt gebruik van moderne principes en populair net omwille van de sterke beveiliging die het biedt.
Oplossing beschikbaar
De onderzoekers deelden deze bevindingen al eerder met kwetsbare platformen. Alleen voor bedrijven kan het werk nu pas beginnen. Nu de aanvalstechniek openbaar is gemaakt, zal het niet lang duren voordat de eerste hackers ermee aan de slag gaan. Aangezien er binnen een zakelijke omgeving heel wat bestanden heen-en-weer worden gestuurd, is het enerzijds belangrijk te verzekeren dat het hiervoor te gebruiken SSH-protocol veilig is. Anderzijds is de kans op uitbuiting niet al te hoog, aangezien een ‘man-in-the-middel’-aanval redelijk veel acties van een aanvaller vereist.
Volgens de onderzoekers is het beter om de betrokken encryptie-procedures uit te zetten. Een patch installeren om het probleem te verhelpen is natuurlijk ook een effectieve methode, maar dit is alleen een mogelijkheid als een patch beschikbaar werd gesteld.
Neem hiervoor wel de volgende waarschuwingen van de onderzoekers mee in het proces: “Als deze verkeerd is geconfigureerd of als uw client deze algoritmen niet ondersteunt, verliest u mogelijk de toegang tot uw server. Ook zijn sommige (zeer) oude versies van OpenSSH (6.2 en 6.3) kwetsbaar voor een bufferoverflow bij gebruik van AES-GCM.”
Om na te gaan of een SSH-server of -client kwetsbaar is voor de Terrapin-aanval, maken de onderzoekers verder een onderzoekstool beschikbaar. Voorgeïnstalleerde binaries en de source code hiervan zijn beschikbaar op GitHub.
‘Slechts het begin’
Het wegwerken van het probleem is afhankelijk van een hoop individuele partijen. De onderzoekers stellen dan ook niet onterecht dat Terrapin naar alle waarschijnlijkheid nog veel jaren zal voortbestaan. Bovendien voorspellen ze dat de Terrapin-aanval een eerste ontdekte aanval is van een nieuwe familie aanvalstechnieken. Deze familie zal zich specifiek concentreren op versleutelde netwerkprotocollen.
Tip: Back-ups zijn onderdeel van een gelaagde securitybenadering
22 uur geleden
