Hallo zusammen,
ich habe den Artikel [0] zu ALPACA ("Application Layer Protocols Allowing Cross-Protocol Attacks") mal zum Anlaß genommen, ein kleines Skript zu schreiben.
Dieses prüft aber eigentlich nur, ob die empfohlene TLS extension Application Layer Protocol Negotiation (ALPN) aktiv ist oder nicht.
SNI habe ich zudem ausgeklammert.
Das Skript analysiert also nicht ALPACA, dazu fehlt bspw noch die Prüfung auf notwendiges SMTP/FTP/... sondern lediglich eine Empfehlung
Dies habe ich mit Blick auf den von mir gesetzen Zeitrahmen (noch?) nicht implementiert.
Verbesserte/korrigierte Versionen bitte gerne wieder zurück in diese Runde.
Also fröhliches Testen der eigenen (!) Web-Server bzgl. ALPN.
VG
Bernd
[0] https://www.heise.de/news/ALPACA-Attacke-Angreifer-koennten-mit-TLS-gesicher...
[1] https://alpaca-attack.com/
Hallo zusammen,
leider erst jetzt gesehen, dass der TLS scanner der RUB bzgl. ALAPACA testet - dies als Nachtrag
wget https://github.com/tls-attacker/TLS-Scanner/archive/refs/tags/4.1.0.tar.gz tar zxvf 4.1.0.tar.gz rm 4.1.0.tar.gz cd TLS-Scanner-4.1.0 export JAVA_HOME="/usr/lib/jvm/default-java" mvn clean package
java -jar apps/TLS-Server-Scanner.jar -connect ${IPv4}:443 ... +++EC_POINT_FORMAT executed +++HELLO_RETRY executed +++CROSS_PROTOCOL_ALPACA executed ... CVE-2020-13777 (Zero key) : not vulnerable ALPACA : ?????????????? Renegotiation Attack (ext) : not vulnerable Renegotiation Attack (cs) : not vulnerable
------------------------------------------------------------ Alpaca Details
Strict ALPN : ?????????????? Strict SNI : ?????????????? ALPACA Mitigation : ?????????????? ...
Beim Testen aber bitte die aktuelle Netzordnung (siehe dazu bspw. [1]) beachten
VG
Bernd
[0] https://github.com/tls-attacker/TLS-Scanner
[1] https://capi.sabio.itc.rwth-aachen.de/documents/0962a984657bb2e901657bc9e281...
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"NSA warns of ALPACA TLS attack, use of wildcard TLS certificates" --> siehe dazu auch [1] und [2]
VG
Bernd
[0] https://therecord.media/nsa-warns-of-alpaca-tls-attack-use-of-wildcard-tls-c...
[1] https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/...
[2] https://media.defense.gov/2021/Oct/07/2002869955/-1/-1/0/CSI_AVOID%20DANGERS...
rwth-security@lists.rwth-aachen.de