Vulnerabilitat en el protocol SSL/TLS

Més d’un mes després de que es fes publica aquesta vulnerabilitat, he tingut temps per a mirar-me-la i entendre-la. La veritat és que m’ha costat trobar una bona explicació, ja que no acabava de veure on entrava l’errada en l’especificació del protocol.

Finalment ho he vist clar llegint aquest document:

http://www.g-sec.lu/practicaltls.pdf

Per tal de poder aprofitar aquest bug d’una manera interessant, cal que el protocol de sobre cumpleixi unes característiques molt concretes, ja que lúnic que s’aconsegueix és concatenar contingut de l’atacant just abans del de l’usuari en qüestió. A més, com es porta dient durant tot aquest temps, només es pot aprofitar si podem fer Man In the Middle.

El procediment en mode molt resumit seria el següent:

  • L’atacant detecta i bloqueja momentàniament una connexió TLS/SSL (connexió #1).
  • Un cop retinguda, inicia una connexió TLS/SSL amb el mateix destí (connexió #2), envia el paquet que vol concatenar i provoca una renegociació.
  • Al començar la renegociació, fa de proxy entre el client i el servidor per tal que la negociació inicial del client (connexió #1) coincideixi amb la renegociació del servidor (a nivell de protocol, els passos a seguir per una negociació inicial i per una renegociació són els mateixos).
  • Un cop fet això, tenim que el servidor es pensa que totes les dades que ha rebut són del mateix usuari, i les dona com a bones.

Durant el moment en què l’atacant fa de proxy entre el client i el servidor (moment en què el client continua la seva negociació), aquest ha de xifrar amb la clau que ell ha negociat (en la connexió #2) tot el què el client està enviant. Això ho ha de fer perquè una renegocicació s’ha de fer utitlitzant les claus de xifratge utilitzades fins al moment.

Alguna pregunta? 😉

7 ens a la final del CTF 2009

Finalment puc dir que he complert un dels meus somnis: classificar-me per anar a la final del CTF a Las Vegas, i fer un bon paper.

Tal i com vaig comentar,  varem muntar un grup amb uns quants amics anomenat Sapheads, que al final varem aconseguir la setena posició. Una posició molt per sobre de la que teníem per objectiu (lluitavem per la 9 ena posició)

En definitiva ha estat una experiència magnífica, he conegut en persona els dos companys coreans t1g3r i mongii amb els què hem forjat una relació inmillorable, i hem aconseguit molt més del què ens haviem plantejat.

Espero poder repetir l’ocasió, i tot i que cal dir que hi han moltes coses que ara mateix faríem molt diferent, no m’imagino com hagués pogut anar millor.

 

classificacioctf2009.jpg

 

 

grafica2.jpg

Aquesta imatge és del segon dia, just quan varem aconseguir petar els serveis cmd i cjd. Al fer-ho, varem guanyar molts punts podent començar a robar flags i fer overwrites dels altres equips quan molt pocs ho havien pogut fer fins al moment.

Visca sapheads!

Finalment anem a Las Vegas!

Després d’haver d’esperar dues setmanes per a què publiquéssin la llista dels equips que podien anar al CTF de Las Vegas, es va confirmar que nosaltres, els Sapheads estàvem classificats.

Pel què ens han dit, l’equip que no va confirmar, era un equip que es va registrar dos cops per a poder estar connectat amb més d’unasessió alhora ja que aquest any la interfície només ens permetia una conexió per equip.

Per tant si no hi ha res de nou, podré dir que he complert el què fa just un any, era un somni. 🙂

11th at Defcon CTF prequals!, will we go to Las Vegas?

Encara no m’ho puc creure! Després de 48 hores gairebé sense dormir, sembla que hi ha la possibilitat de que anem a la final de la Defcon CTF a Las Vegas!

Recordo l’any passat que 28h abans de que comencés, em vaig enterar per casualitat i vaig trucar a tothom qui coneixia per a si hi volia participar. Va ser tot molt precipitat, no haviem fet casi res amb molt de temps, però vam aconseguir passar-nos-ho molt bé, i una 52ª posició.

Aquest any la cosa ha estat molt diferent, portem molt de temps pensant en aquest dia, un dia d’autoavaluació, ja que serveix per veure si realment hem millorat o no.  A la pràctica no hem estat la mateixa  gent (hem participat amb unes 4 persones més, 8 en total) i la cosa ha millorat força els resultats.

L’únic inconvenient, és que aquest any no tinc la sensació de haver-me passat totes les proves, l’any passat em vaig esbarallar amb totes i al acabar treient-les, era genial. Aquest any moltes no les he ni provat, ja que altres membres de les superaven al estar treballant en paralel.

En tot cas ha estat molt bé.

Aquí teniu una captura de l’últim minut. Nosaltres som el grup Sapheads

defcon2009.png

Why Java Sucks For Sysadmins

Tret de http://www.slerman.net/javasucks.html el link ja estava petat altre cop. Això no pot desapareixer!

Originally taken from http://www.panix.com/userdirs/jdw/javasucks.html. Thanks to one of the guys in #PHP for the link

If Java had proper garbage collection, most programs would self-delete upon execution. — Jucius Maximus

FOREWORD: Just because this page is about Java and mentions a bunch of Java-related problems does not mean it will help you to solve them. If you’re looking for actual, immediate answers for why you’re getting “ocijdbc8 unsatisfied link error”, you’ll have to look elsewhere. Sorry.

Why Java Sucks For Sysadmins

I am not a fan of Java. (The programming language, not the drink (which I love) or the place.) There are a lot of pages out there on how and why Java sucks, but most of them are written by and for programmers, e.g. “Java sucks because you can only singly inherit dynamic classless initialization methods!” (Um…yeah! Righteous! Preach it, brother!) I’m sure they’re all valid enough, but Java doesn’t just suck for programmers, it sucks for sysadmins too! There’s enough suckiness in it for everybody!
I should really specify more carefully exactly what I mean by Java (since this is something even its supporters have to do). I learned a little of Java the language proper back when it was new and the hot thing to learn: it seems like a language like any other, no better or worse than many others. Fussy with the syntax and rather verbose, but that could be said of other languages too. As a sysadmin, I don’t have to deal much with it anyway. Java the VM and class library is a different issue. That I do have to deal with. Then there’s the whole culture surrounding Java…and that’s a whole other can of worms.

That said, the major points against it from this sysadmin’s point of view are:

Sigue leyendo