jueves, 20 de diciembre de 2012

TLSSLed v1.2

Saludos Mundo LIbre

 Hoy les tarigo TLSSLed v1.2.

TLSSLed v1.2 ha sido lanzado y se puede descargar, como siempre, desde el laboratorio de Taddong.

Esta nueva versión incorpora las sugerencias de varias personas, así como nuevas características, incluyendo soporte para Mac OS X (TLSSLed ahora debería funcionar en Linux y Mac OS X; comprobar cómo construir sslscan en Mac OS X en primer lugar), un examen inicial para verificar si el servicio de destino habla SSL / TLS (terminar su ejecución si no lo hace), a algunas otras optimizaciones y comprobaciones de error y nuevos ensayos para TLS v1.1 y v1.2.

Esta última característica se ha añadido como un resultado de la vulnerabilidad BEAST e investigaciones recientes, CVE-2011-3389. Con el fin de ser capaz de verificar para TLS v1.1 y v1.2 es necesario utilizar openssl-1.0.1-estable, disponible en el repositorio de instantánea openssl. TLSSLed identifica si el servicio de destino admite TLS v1.1 y v1.2, si no lo hace, o si su versión local openssl no es compatible con estas versiones de TLS.

Esta nueva prueba simplemente comprueba si el servicio de destino soporta estas dos versiones TLS, sin embargo, esto no significa que la aplicación es segura desde el punto de vista BESTIA, como muchos otros factores pueden influir en esta, tales como:

    La implementación podría rebajar de TLS v1.1 o v1.2 o v1.0 para TLS SSLv3 si estas versiones también son compatibles con el servidor y un cliente lo solicita.
    La aplicación se puede utilizar en lugar de RC4 AES CBC para mitigar esta vulnerabilidad.
    Ciertos SSL / TLS implementaciones puede que no sea vulnerable a BEAST, como openssl desde la versión 0.9.6d, como ya se ha agregado vacías fragmentos de texto plano (problema n º 2) - SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS si no está establecida.

Los dos primeros escenarios pueden ser fácilmente verificado a través de la nueva "Pruebas de SSLv3 y TLSv1 primer apoyo ..." prueba. Si usted sabe cómo controlar de forma remota para el tercer escenario usando el binario openssl, me gustaría conocer su opinión al respecto y poner en práctica dentro de la herramienta que ... Por lo tanto, un cuidadoso y exhaustivo análisis basado en el cerebro aún es necesario :)

La salida muestra esta nueva característica contra "tls.woodgrovebank.com", un SSL / TLS del servidor público de prueba de interoperabilidad de Microsoft, usando openssl 1.0.1-dev:
 


$ ./TLSSLed.sh tls.woodgrovebank.com 443
------------------------------------------------------
TLSSLed - (1.2) based on sslscan and openssl
               by Raul Siles (www.taddong.com)
------------------------------------------------------
+ openssl version: OpenSSL 1.0.1-dev xx XXX xxxx
+ sslscan version 1.8.2
------------------------------------------------------

[-] Analyzing SSL/TLS on tls.woodgrovebank.com:443 ..

[*] The target service tls.woodgrovebank.com:443 seems to speak SSL/TLS...


[-] Running sslscan on tls.woodgrovebank.com:443...

[*] Testing for SSLv2 ...
  Accepted  SSLv2  168 bits  DES-CBC3-MD5
  Accepted  SSLv2  128 bits  RC4-MD5

[*] Testing for NULL cipher ...

[*] Testing for weak ciphers (based on key length) ...


[*] Testing for strong ciphers (AES) ...
  Accepted  TLSv1  256 bits  AES256-SHA
  Accepted  TLSv1  128 bits  AES128-SHA

[*] Testing for MD5 signed certificate ...

[*] Testing for certificate public key length ...
  RSA Public Key: (2048 bit)

[*] Testing for certificate subject ...
  Subject: /C=US/ST=WA/L=Redmond/O=Microsoft/CN=tls.woodgrovebank.com

[*] Testing for certificate CA issuer ...
  Issuer: /CN=RSACERTSRV

[*] Testing for certificate validity period ...
  Today: Wed Oct 12 00:50:07 UTC 2011
  Not valid before: Feb 14 22:52:50 2011 GMT
  Not valid after: Feb 14 23:02:50 2012 GMT

[*] Checking preferred server ciphers ...
Prefered Server Cipher(s):
  SSLv2  168 bits  DES-CBC3-MD5
  SSLv3  128 bits  RC4-SHA
  TLSv1  128 bits  AES128-SHA



[-] Testing for SSLv3/TLSv1 renegotiation vuln. (CVE-2009-3555) ...

[*] Testing for secure renegotiation ...
Secure Renegotiation IS supported


[-] Testing for TLS v1.1 and v1.2 (CVE-2011-3389 aka BEAST) ...

[*] Testing for SSLv3 and TLSv1 first ...
  Accepted  SSLv3  168 bits  DES-CBC3-SHA
  Accepted  SSLv3  128 bits  RC4-SHA
  Accepted  SSLv3  128 bits  RC4-MD5
  Accepted  TLSv1  256 bits  AES256-SHA
  Accepted  TLSv1  128 bits  AES128-SHA
  Accepted  TLSv1  168 bits  DES-CBC3-SHA
  Accepted  TLSv1  128 bits  RC4-SHA
  Accepted  TLSv1  128 bits  RC4-MD5

[*] Testing for TLS v1.1 support ...
TLS v1.1 IS supported

[*] Testing for TLS v1.2 support ...
TLS v1.2 IS supported


[-] Testing for SSL/TLS security headers ...

[*] Testing for Strict-Transport-Security (STS) header ...

[*] Testing for cookies with the secure flag ...

[*] Testing for cookies without the secure flag ...


[-] New files created:
-rw-r--r-- 1 root root 5684 2011-10-18 20:50 sslscan_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 2675 2011-10-18 20:50 openssl_HEAD_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 2408 2011-10-18 20:49 openssl_RENEG_tls...com:443_2011-10-18_20:49:23.log
-rw-r--r-- 1 root root 540 2011-10-18 20:49 openssl_RENEG_tls...com:443_2011-10-18_20:49:23.err
-rw-r--r-- 1 root root 523 2011-10-18 20:50 openssl_HEAD_tls...com:443_2011-10-18_20:49:23.err


[-] done
 
Si el servicio de destino no es compatible con TLS v1.1 o v1.2 dirá "... no es compatible" en su lugar. 
Si su versión local openssl no es compatible con TLS v1.1 y v1.2, obtendrá el siguiente resultado:

$ ./TLSSLed.sh www.example.com 443
...
[-] Testing for TLS v1.1 and v1.2 (CVE-2011-3389 aka BEAST) ...
...
[*] Testing for TLS v1.1 support ...
The local openssl version does NOT support TLS v1.1

[*] Testing for TLS v1.2 support ...
The local openssl version does NOT support TLS v1.2
...
 
Algunas personas sugirieron nuevas incorporaciones a TLSSLed basa en la suma cheques de otros ya disponibles 
SSL / TLS herramientas relacionadas, como openssl-blacklist o ssl-cipher check.pl. Después de una cuidadosa 
reflexión y proceso de análisis detallado, TLSSLed se mantendrá fiel a su espíritu original y el diseño, 
tratando de reducir al mínimo los requisitos previos para ejecutarlo (sólo openssl y sslscan desde 
la versión 1.0). Por lo tanto, el objetivo no es hacer uso de ninguna herramienta adicional dentro de 
TLSSLed excepto openssl y sslscan, a menos que exista una prueba de seguridad muy importante que no se 
puede lograr con estos dos. Sin embargo, estoy abierto a la aplicación de otras pruebas que faltan 
utilizando estas dos herramientas.

Una de las versiones futuras incluirán una guía de usuario asociada que explica brevemente los diferentes 
resultados TLSSLed y su significado, por lo que fácilmente puede entender las implicaciones de seguridad de 
los hallazgos reportados por la herramienta sin ser muy versado en SSL / TLS (HTTPS).

Recuerde que la herramienta está abierto a comentarios, sugerencias, mejoras y nuevas pruebas de la 
comunidad. No dude en ponerse en contacto conmigo con ideas! Gracias a Abraham Aranguren y otros que desean 
permanecer en el anonimato por sus comentarios!


Fuente:http://blog.taddong.com/2011/10/tlssled-v12.html

Traduccion:Dellcom1@.

Saludos Mundo Libre.
on

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)