Представлена техника перехвата данных для сжатых соединений TLS и SPDY

17.09.2012 21:51

Джулиано Риццо (Juliano Rizzo) и Тхай Дыонг (Thai Duong), известные исследователи компьютерной безопасности, предложившие в своё время технику атаки BEAST против SSL/TLS, разработали новый способ перехвата на промежуточном шлюзе содержимого сессионных Cookie, передаваемых внутри зашифрованного соединения. Новая атака, получившая название CRIME (Compression Ratio Info-leak Made Easy), эффективна для каналов связи на основе SSL/TLS и SPDY, действует только при использовании сжатия передаваемых данных и требует выполнения JavaScript-кода злоумышленника в браузере клиента (в случае man-in-middle атак осуществить подстановку такого кода не составляет труда).

По своей сути CRIME является продолжением развития идей, воплощённых в методе атаки BEAST. Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить Cookie, в рамках общего шифрованного канала связи. Используя тот факт, что данные сжимаются на этапе до шифрования и не подвергаются дополнительной рандомизации, новая атака позволяет обойти средства защиты, добавленные производителями браузеров для блокирования атаки BEAST.

В качестве демонстрации, на транзитном хосте, через который был перенаправлен трафик клиента, был организован перехват сессий для защищённых каналов связи с сервисами Gmail, GitHub, Twitter, Dropbox и Yahoo Mail. По заявлению авторов CRIME, они заранее связались с производителями браузеров и в последние версии Chrome и Firefox (только данные браузеры поддерживают протокол SPDY) уже включены надлежащие патчи, позволяющие защититься от новой техники атаки. Что касается браузеров поддерживающих сжатие SSL/TLS, то в последних выпусках Chrome, Firefox, Opera и Safari сжатие трафика для SSL/TLS было по умолчанию отключено (Internet Explorer подобное сжатие не поддерживается вообще).

На стороне сервера защититься от атаки можно отключив сжатие SSL/TLS, например, для Apache 2.4 можно указать в настройках "SSLCompression off". Концептуальный прототип приложения для осуществления атаки можно найти здесь. Общее число серверов, поддерживающих сжатие SSL/TLS, в настоящее время оценивается в 42%, а число поддерживающих сжатие SSL/TLS браузеров в 7% (с учётом того, что в последних версиях сжатие SSL/TLS отключено).

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/34869-ssl

Ключевые слова: ssl, tls, security, crypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (38)

1.1, pavlinux (ok), 22:35, 17/09/2012 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Патчик для Апача 2.2+ https://issues.apache.org/bugzilla/attachment.cgi?id=28804

1.2, Сейд (ok), 23:17, 17/09/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А если Cookie отключены?

2.3, pavlinux (ok), 23:35, 17/09/2012 [^] [^^] [^^^] [ответить]	+2 +/–
Cookie - это одна из возможных целей атаки, а не инструмент. Косяк тут: "данные сжимаются на этапе до шифрования и не подвергаются дополнительной рандомизации"

3.4, frob (ok), 02:34, 18/09/2012 [^] [^^] [^^^] [ответить]	–1 +/–
Что за бред? Какая нафиг "дополнительная рандомизация"? Ну и флажок в * сжимальщикам данных "после шифрования".

4.5, pavlinux (ok), 02:48, 18/09/2012 [^] [^^] [^^^] [ответить]	+/–
> Что за бред? 1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ!

5.6, frob (ok), 03:39, 18/09/2012 [^] [^^] [^^^] [ответить]	+/–
Совсем кукус?

6.7, pavlinux (ok), 03:46, 18/09/2012 [^] [^^] [^^^] [ответить]	–1 +/–
Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick." в кодировке ROT13. http://www.retards.org/projects/rot13/

7.8, frob (ok), 03:52, 18/09/2012 [^] [^^] [^^^] [ответить]

+/–

> Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick."
> в кодировке ROT13.
> http://www.retards.org/projects/rot13/

про 3DES не слышал? Ну, иди сжимай зашифрованное.

[сообщение отредактировано модератором]

8.9, pavlinux (ok), 04:44, 18/09/2012 [^] [^^] [^^^] [ответить]	+/–
multi-round от multi-count отличить смогём ... текст свёрнут, показать

7.23, Аноним (-), 15:00, 18/09/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick." > в кодировке ROT13. Ты еще XOR с константой вспомни. А ничего что ROT13 в принципе не претендует на криптостойкость? :)

8.27, Акакий Зильбиршейн (?), 19:42, 18/09/2012 [^] [^^] [^^^] [ответить]	+/–
с развитием матричных вычислитиле - пример видеокарта, к концу следущего года ... текст свёрнут, показать

9.35, pavlinux (ok), 03:33, 19/09/2012 [^] [^^] [^^^] [ответить]	+3 +/–
Это что ещё за импортный товарищь тут Мужик, ты если чё, пиши на английском,... текст свёрнут, показать

5.16, Аноним (-), 10:21, 18/09/2012 [^] [^^] [^^^] [ответить]	+1 +/–
Шифрованое и сжатое - разные вещи, не?

6.28, Акакий Зильбиршейн (?), 19:57, 18/09/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> Шифрованое и сжатое - разные вещи, не? ну.. майкросовтовский pptp - чего там больше компресси или шифрования?

7.32, Сейд (ok), 22:03, 18/09/2012 [^] [^^] [^^^] [ответить]	+/–
Когда в NetworkManager можно будет использовать L2TP?

8.43, Дмитрий (??), 22:57, 20/09/2012 [^] [^^] [^^^] [ответить]	+1 +/–
тестируйте http forum ubuntu ru index php topic 181916... текст свёрнут, показать

9.44, Сейд (ok), 23:54, 20/09/2012 [^] [^^] [^^^] [ответить]	+/–
За что вы так ненавидите нас, милых пушистых созданий Хомячки не умеют устанавл... текст свёрнут, показать

7.39, pavel_simple (ok), 11:01, 19/09/2012 [^] [^^] [^^^] [ответить]	–1 +/–
>> Шифрованое и сжатое - разные вещи, не? > ну.. майкросовтовский pptp - чего там больше компресси или шифрования? маразма там больше

5.22, Аноним (-), 14:56, 18/09/2012 [^] [^^] [^^^] [ответить]

+/–

> 1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ!

Это откуда такая логика вытекает? Криптостойкий алгоритм должен давать на выходе последовательность выглядящую как рандом. Шифрование рандома - ничему не противоречит.

Более того, есть техника расшифровки рандома в нечто (тоже рандомное). Вполне себе используется.

Хотя конечно, если шифровать ROT13 ламерской XORкой с константой - это "шифрование", определенно, разломают. А чему противоречит например зашифровать вывод того же RC4 например AES-ом? Получится "луковица" - 2 разных алгоритма и 2 ключа.

6.37, pavlinux (ok), 04:05, 19/09/2012 [^] [^^] [^^^] [ответить]	+/–
> Хотя конечно, если шифровать ROT13 ламерской XORкой с константой - это "шифрование", > определенно, разломают. XOR c константой (точнее со случайными константами равными по размеру самому сообщению) - самое стойкое шифрование (но только один раз)

5.29, ммманоним (?), 20:17, 18/09/2012 [^] [^^] [^^^] [ответить]	+/–
>1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ! Вызывающее 4.2. Сударь, вы что-то путаете.

6.36, pavlinux (ok), 03:53, 19/09/2012 [^] [^^] [^^^] [ответить]

+2 +/–

>>1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ!
> Вызывающее 4.2. Сударь, вы что-то путаете.

Мужики, вы только какашками не кидайтесь, доказательство сего факта занимает 500 стр.
Если у кого есть время, спросите у своих преподов по Теор.Веру, о функции двух
случайных величин.

Если мне не изменяет моск, там будет сумма двух двойных интегралов второго рода
по области расспределения их случ. величин.

Ладно, ненужная хуета всё это. Хацкеры, особо импортные - это тупое математическое быдло,
у них моск думает только так, как написано в учебниках по матану и как сказал Кнут, Кериган
и Рытчи. По этому их наипать - как два байта об асфальт.

1. Внесение говна (например шум движка ВАЗ 2106, в -35 мороз) в передаваемые данные - пущай мучаются.
2. Использование простых и чисел Фибоначчи.
3. Выжрите литр водки и напишите функцию расспределения - это им ваааще не доступно.
4. Берите входящие данные из сферы не связанной с электроникой и ВТ
(например удои коров села Заветы Ильича, Калужской области за 1964 год).
5. Используйте в разработках трансцендентные функции - sin(), cos(), exp(), pi^x, x^pi ...
6. Для создания энтропии используйте тексты написанные pavlinux. Он уже всё продумал за Вас. :-* Чмоки, чмоки, свалил спать.

5.38, upyx (ok), 09:00, 19/09/2012 [^] [^^] [^^^] [ответить]	+/–
Объясните пожалуйста, почему шифровать сжатое можно, а сжимать шифрованное нельзя? Или нельзя и то и другое, а данная функция в браузере - fail?

6.40, Аноним (-), 11:40, 20/09/2012 [^] [^^] [^^^] [ответить]	+1 +/–
В шифрованных данных нет очевидных закономерностей, поэтому их особо не сожмёшь.

1.10, aannoo (?), 07:31, 18/09/2012 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
ндаааа онолитеги... шифрование и сжатие две, большие разницы.

2.11, anonymous (??), 07:35, 18/09/2012 [^] [^^] [^^^] [ответить]	–4 +/–
Нет. И то, и то - кодирование.

3.15, Аноним (-), 09:01, 18/09/2012 [^] [^^] [^^^] [ответить]

+/–

> Нет. И то, и то - кодирование.

Ну тогда и трансформация битов в электрические импульсы - кодирование. Только вот хоть это и кодирование, а тут полный оффтопик :)

1.12, Аноним (-), 07:52, 18/09/2012 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
> Internet Explorer подобное сжатие не поддерживается вообще Кажется, я внезапно осознал всю хитрость политики безопасности MS: «нет возможности — нет уязвимости».

2.14, Аноним (-), 09:00, 18/09/2012 [^] [^^] [^^^] [ответить]	+2 +/–
У них других уязвимостей хватает, так что толку то, особенно с их "оперативным" выпуском патчей раз в месяц :)

2.19, stopa85 (ok), 11:08, 18/09/2012 [^] [^^] [^^^] [ответить]	+2 +/–
Иногда, кстати, очень не плохая политика.

1.13, Аноним (-), 08:59, 18/09/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Используя тот факт, что данные сжимаются на этапе до шифрования и не > подвергаются дополнительной рандомизации, новая атака позволяет обойти > средства защиты, добавленные производителями браузеров для блокирования атаки BEAST. Есть такая штука - padding. Но некоторым все так же удается встать на старые, давно всем известные грабли :)

2.20, kurokaze (ok), 11:56, 18/09/2012 [^] [^^] [^^^] [ответить]	+/–
как и "соль"

1.17, Аноним (-), 10:28, 18/09/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ещё в обсуждении BEAST говорилось, что одно из правил криптографии - дать злоумышленнику возможность зашифровать любое количество любых данных и посмотреть на результаты, но так, чтобы не скомпрометировать систему. Сразу подбирать Cookie должно быть проще, чем "расшифровывать" их перебором.

1.24, Аноним (-), 15:21, 18/09/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
все конечно хорошо, но я что-то не представляю, как можно вклиниться в канал связи (man-in-middle), весь сигнал проходит через узлы операторов связи, а у них с безопасностью все должно быть в порядке, или любой с улицы может спокойно войти в здание? опять же, откуда злоумышленнику знать, каким маршрутом пойдет сигнал?

2.25, Аноним (-), 16:11, 18/09/2012 [^] [^^] [^^^] [ответить]	+/–
Чо-чо там с безопасностью СОРМ-2?

2.26, XoRe (ok), 17:55, 18/09/2012 [^] [^^] [^^^] [ответить]	+4 +/–
> весь сигнал проходит через узлы операторов связи, а > у них с безопасностью все должно быть в порядке В провайдере могут оказаться гнусные люди, которые попробуют подобрать ваши пароли, преследуя свои, гнусные цели.

2.42, zazik (ok), 21:11, 20/09/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> все конечно хорошо, но я что-то не представляю, как можно вклиниться в > канал связи (man-in-middle), весь сигнал проходит через узлы операторов связи, а > у них с безопасностью все должно быть в порядке, или любой > с улицы может спокойно войти в здание? опять же, откуда злоумышленнику > знать, каким маршрутом пойдет сигнал? Ну да, ну да, вы ещё на безопасность в госконторах положитесь, гулять так гулять!

1.45, Slezhuk (?), 10:31, 09/11/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сегодня для Ubuntu прилетел апдейт апача, закрывающий эту уязвимость.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: