Elektronické občianske preukazy a Wi-Fi siete trpia závažnou zraniteľnosťou

  • 17.10.2017
  • 5 min. čítanie

16. október 2017 bol pre bezpečnostných expertov čiernou morou. Došlo totiž k odhaleniu dvoch významných bezpečnostných nedostatkov, ktoré priamo ohrozujú aj náš región.

Napadnuteľné RSA kľúče

Jedným z bezpečnostných problémov, ktoré zasahujú aj náš región, je zraniteľnosť RSA kľúčov, ktoré sa používajú pri eID preukazoch a elektronických podpisoch. Tú ešte koncom januára 2017 objavil slovensko-český tím na Masarykovej unioverzite v Brne, ktorý tvorí Matúš Nemec, Marek Sýs, Dušan Klinec a Česi Petr Švenda a Vašek Matyáš.

Podľa nepísaných pravidiel etického hackovania ale objavitelia najprv kontaktovali výrobcu dotknutých kryptografických čipov, spoločnosť Infineon, ktorá začala okamžite pracovať na opravnej aktualizácii. Dnes sú aktualizované mnohé zariadenia značiek Microsoft, Google, HP, Lenovo či Fujitsu, ktoré tieto čipy používali.

Zadná strana slovenského občianskeho preukazu.

 

Samostatný problém ale tvoria systémy verejnej správy, ktoré napadnuteľné RSA kľúče používajú na elektronickú agendu svojich rezidentov. Podľa známych informácií ide najmä o Estónsko a Slovensko. Zatiaľ čo Estónci zverejnili plán zneplatnenia náchylných RSA kľúčov a prechod na technológiu ECC, Slováci iba potvrdili, že o probléme vedia a pracujú na jeho eliminácii. Ani 8 mesiacov im nestačilo na to, aby chybu napravili. Aj RSA kľúče vydané začiatkom októbra sú stále pomerne jednoducho napadnuteľné.

Chybnou je technológia vytvárania privátnych kľúčov, ktoré sa pomocou transformovanej Coppershmithovej faktorizácie dajú vypočítať z verejných kľúčov, ktoré sú voľne dostupné. Prelomiteľné sú všetky typy RSA kľúčov generované spomínaným algoritmom, no najviac sú ohrozené 512 až 2144-bitové kľúče, ktoré je reálne možné „odhaliť“ výpočtom pri prenajatých serveroch za $0,06 (512-bitové kľúče) až približne $20 000 pri viac ako 2048-bitových kľúčoch. S takto získanými kľúčmi dokážu hackeri používať váš online podpis pri elektronickej dokumentácii, napríklad pri vytváraní splnomocnení alebo prepise majetku.

Všetky potrebné informácie, ako aj kompletný návod na útok na spomínané kryptografické čipy spoločnosti Infineon zverejní česko-slovenský tím už 2. novembra na konferencii ACM CCS.

Problém s WPA2 šifrovaním pri Wi-Fi

Druhou zo včera objavených zraniteľností je prelomiteľné WPA2 šifrovanie používané na zabezpečenie drvivej väčšiny Wi-Fi sietí. Jeho objaviteľ ho nazval KRACK, Key Reinstallation AttaCK, a odborníci hovoria o stovkách miliónov zraniteľných zariadení po celom svete.

Chyba bezpečnostného protokolu WPA2 umožňuje útočníkom oklamať používateľov pripojených do rovnakej Wi-Fi siete a presmerovať ich na novú, útočníkom vytvorenú sieť s rovnakými parametrami, ktorá sa však vysiela na inom Wi-Fi kanále. Následne môže útočník podstrčiť používateľovi phishingovú verziu nejakej webstránky, z ktorej následne získa jeho citlivé dáta. Ide o klasický útok typu man-in-the-middle. V tomto prípade ale platí, že nachytať sa dajú len nevšímaví používatelia.

Aj po prelomení WPA2 šifrovania siete a presmerovaní používateľa na sieť útočníka totižto používateľov stále chráni TCP spojenie zabezpečené TLS protokolom. O tom, že ste obeťou útoku, vás môže informovať zmena HTTPS pripojenia na HTTP verziu bez šifrovania.

Zraniteľné sú najmä zariadenia s linuxovým OS, menovite počítače s Linuxom a Android smartfóny. iOS a Windows Phone zariadenia spomínaný štandard nedodržiavajú, čo im v tomto prípade zabezpečuje ochranu. Niektorí z výrobcov Android zariadení už začali s rozposielaním bezpečnostnej aktualizácie softvéru, ktorá túto zraniteľnosť odstraňuje.

 

Newsletter

Novinky o IT bezpečnosti pre firmy

Chcete vašu firmu udržať bezpečnou? Prihláste sa k odberu nášho newslettera a dostávajte tipy a novinky zo sveta online bezpečnosti.

Chcem novinky