サーバやブラウザがFREAK脆弱性(CVE-2015-0204)に対応しているか確かめる方法。

スポンサーリンク

 使用しているブラウザやサーバーがFreak脆弱性(CVE-2015-0204)に対応しているか確かめる方法です。詳細は以下から。


Safari-805-support-FREAK-Attack


 昨日から報じられているFREAK攻撃(脆弱性)は、その略称”Factoring Attack on Rsa-Export Key”の通り「Export-grade(輸出グレード)のRSA暗号をサポートしたサーバーにMacやiOSのSafariなど輸出グレードのRSA暗号をサポートしたブラウザでアクセスすると攻撃者が介入できてしまう」という脆弱性だそうで、

The flaw resulted from a former policy of the Clinton administration, which required weak 512-bit keys to be used in any software or hardware that was exported out of the United States. The U.S. government forbade the export of strong encryption in products shipped to customers in other countries.
[FREAK OpenSSL Bug: What Apple Users Need to Know – The Mac Security Blog]

 この原因はクリントン政権時代(1993~2001年)のアメリカ政府が国外向けのソフトウェアやハードウェアに512bit RSA鍵などを使用するように求めたためで、プリンストン大学のEdward教授によれば「現在ではAmazonのEC2を100ドルで7時間借りればRSA暗号鍵を解読できる」そうで、Integoでは以下の様な方法でこの脆弱性に対応したサーバー&クライアントをチェックできるとしています。

Having tricked Alice and Bob into using export mode, an adversary could then crack the 512-bit RSA keys used in this mode. Back in the ‘90s that would have required a heavy-duty computation, but today it takes about 7 hours on Amazon EC2 and costs about $100.

[FREAK Attack: The Chickens of ‘90s Crypto Restriction Come Home to Roost]

サーバー側のチェック

 サーバー側のチェックはターミナル.appを使用してopensslコマンドにチェックしたいホスト名を入力し”alert handshake failure”が返ってくればそのホストは安全で、


openssl-s_client-connect-443-cipher-EXPORT

openssl s_client -connect WWW.HOGEHOGE.COM:443 -cipher EXPORT

 ”hatena.ne.jp”や”weathernews.jp”, “nissan.co.jp”など輸出グレードRSA暗号をサポートしているホストは(Safariなど脆弱性対策されていないブラウザを使用して)アクセスすると中間者攻撃を仕掛けられる可能性があるそうです。


openssl-s_client-connect-443-cipher-EXPORT-Support

ブラウザのチェック

 ブラウザのチェックはFREAK脆弱性のチェックサイト”freakattack.com”にアクセスし、”Good News” Your browser appears to be safe from the FREAK Attack!”と表示されれば安全で(信頼性は不明ですが少なくともSafari, Chrome, Firefoxなど主要ブラウザについては正しい結果が得られているそうです)


Chrome-Block-FREAK-Attack

 ”Worning!”が出れば脆弱性が存在するそうです。最新のOS XのSafari v8.0.3とiOS 8.1.3のSafariにもこの脆弱性が存在し、現在開発者向けに公開されているSafari 8.0.5(Webkit)にもこの脆弱性が存在するため、ロイター通信などによるとAppleの広報担当は(iOS 8.2のリリースを遅らせて)FREAK対応をしたSafariを来週中にもリリースするとコメントしたそうです。


Safari-805-support-FREAK-Attack

An Apple Inc spokesman said on Tuesday that the company plans to release a fix next week to mitigate the newly uncovered ‘Freak’ security flaw affecting Safari browsers on its iOS and OS X operating systems.

[Apple plans fix next week for newly uncovered Freak security bug – Reuters]

関連リンク:
Tracking the TLS FREAK Attackb.hatena – freakattack.com

FREAK についてまとめてみたb.hatena – piyolog

‘FREAK’ flaw undermines security – Washington Post

New SSL attack: Apple, Android gear FREAK out – The Register

FREAK Attack – Freedom to Think

FREAK OpenSSL Bug – The Mac Security Blog