Tra le rivelazioni di Snowden, una in particolare ha suscitato grande interesse fra crittoanalisti ed esperti di sicurezza: l’ipotesi di un clamoroso avanzamento nelle tecniche di crittoanalisi che avrebbe consentito alla National Security Agency (NSA) di decifrare una parte significativa delle comunicazioni criptate che transitano in rete su canali fino ad oggi considerati sicuri, quali VPN, connessioni SSH e HTTPS.
Una recente ricerca ipotizza che la NSA abbia raggiunto questo risultato sfruttando una vulnerabilità nelle implementazioni software dello scambio Diffie-Hellman, meccanismo alla base dei principali protocolli Internet sicuri, e stima che:
- più dell’8% dei siti HTTPS più popolari secondo Alexa e quasi il 15% dei server di posta SMTP-TLS possano essere facilmente compromessi utilizzando risorse oggi alla portata di tutti;
- la disponibilità di hardware dedicato, compatibile con il budget di agenzie come la NSA, possa consentire di decifrare il traffico del 66% delle VPN, del 25% dei server SSH e delle connessioni HTTPS al 20% dei siti più popolari.
Lo studio dimostra che numerosi protocolli, fino ad oggi ritenuti pressoché inviolabili nella pratica, possono in realtà essere compromessi con relativa facilità, soprattutto in presenza di configurazioni errate o poco robuste o di attaccanti che dispongono di importanti risorse computazionali. Non si può inoltre escludere che le stesse tecniche probabilmente utilizzate dalla NSA siano state individuate e sfruttate anche da altri attori. Per questa ragione è estremamente importante considerare i risultati di questo studio per conoscere i rischi reali a cui sono esposte le comunicazioni cifrate e per mettere in atto le contromisure necessarie a garantirsi un adeguato livello di protezione rispetto alle possibili minacce. Tali raccomandazioni, applicabili a tutti, sono cruciali per tutte le realtà che operano nei settori delle infrastrutture critiche quali, ad esempio, centrali energetiche, multi-utility, operatori delle telecomunicazioni, porti ed aeroporti.
Attacco Logjam: cos’è e chi può metterlo in atto?
Più nel dettaglio l’attacco sperimentato nella ricerca, chiamato Logjam, mira a compromettere lo scambio Diffie-Hellman (DH), ovvero il meccanismo che consente a due utenti di concordare una chiave segreta attraverso un canale insicuro senza presupporre l’esistenza di precedenti accordi. Lo scambio DH è fondamentale nell’era di Internet, dove chiunque deve poter comunicare in modo riservato con chiunque altro e non è possibile ricorrere a incontri diretti per scambiarsi la chiave segreta per cifrare i propri messaggi -per questa ragione è largamente usato dai principali protocolli Internet sicuri, come TLS, SSH, IPsec, IKE e HTTPS.
Logjam consiste di due fasi:
- una pre-computazione, molto onerosa, mirata a compromettere un numero primo utilizzato come parametro nello scambio DH;
- un calcolo successivo, relativamente veloce, che consente di violare qualsiasi connessione utilizzi il parametro compromesso al passo precedente.
Spesso le implementazioni software dello scambio DH utilizzano gli stessi pochi parametri standard e largamente diffusi e contribuiscono così a ridurre il costo di attacchi su larga scala, incrementando il numero di obiettivi vulnerabili.
Pericolosità e impatto dell’attacco variano in modo significativo in funzione delle risorse computazionali disponibili all’attaccante, ovvero dalla capacità dei sistemi a disposizione dell’attaccante di eseguire un numero elevato di operazioni, calcoli o istruzioni complesse per unità di tempo:
- qualunque attaccante può compromettere i server che ricorrono a parametri deboli (ad esempio, primi di 512 bit): dopo un lungo pre-calcolo, la chiave segreta può essere ricostruita nell’arco di qualche minuto. Questo consente ad un intruso di forzare il downgrade della connessione, ovvero di imporre l’utilizzo di parametri deboli che, sebbene non possano oggi garantire un livello di sicurezza adeguato, sono tuttora supportati da molti server in conformità alle limitazioni sull’uso della crittografia in vigore negli Stati Uniti negli anni ‘90;
- attaccanti che dispongono di risorse avanzate, come quelle di gruppi accademici, possono violare uno scambio DH basato su parametri mediamente robusti (768 bit);
- ricorrendo ad un hardware dedicato del costo di qualche milione di dollari è possibile compromettere alcuni dei pochi parametri forti (1024 bit) utilizzati in un’ampia maggioranza di protocolli sicuri e decifrare così buona parte del traffico Internet criptato.
Come ridurre i rischi di attacco?
Seguendo una serie di raccomandazioni è possibile incrementare la robustezza dei sistemi agli attacchi Logjam e downgrade. In particolare:
- nel lungo termine, è consigliabile avvalersi esclusivamente della versione dello scambio Diffie-Hellman basata su curve ellittiche (ECDH) che, opportunamente configurata, è immune agli attacchi oggi noti;
- nel breve-medio termine, è necessario configurare i server in modo da non accettare connessioni che richiedono l’utilizzo di un cifrario conforme alle restrizioni sull’esportazione della crittografia, oggi obsolete. Occorre inoltre far sì che durante lo scambio DH i server utilizzino parametri robusti (ad esempio, primi di almeno 2048 bit) e non accettino la negoziazione di parametri la cui robustezza è inferiore ad una soglia minima (ad esempio, primi di lunghezza inferiore a 1024 bit), come suggerito dal NIST già dal 2010. Gli autori della ricerca hanno predisposto delle linee guida per aiutare amministratori di rete e sistemisti ad adottare queste misure, che presentano però un’importante contropartita: l’incompatibilità con chi non adotta le stesse politiche;
- nel breve termine, se è necessario continuare a supportare parametri poco robusti (come i primi di 1024 bit), occorre evitare di avvalersi di valori fissi e largamente diffusi per rendere inefficaci le eventuali computazioni massive su parametri noti ed estremamente comuni.
Inoltre, sottolineando come l’attacco downgrade dimostri brillantemente la fragilità delle front door crittografiche, gli autori della ricerca suggeriscono una importante direzione politica e raccomandano di evitare di indebolire consapevolmente la crittografia.
Facebook Comments