Джулиано Риццо (Juliano Rizzo) и Тхай Дыонг (Thai Duong), известные исследователи компьютерной безопасности, создавшие в своё время технику атаки BEAST (http://www.opennet.ru/opennews/art.shtml?num=31797) против SSL/TLS, разработали (http://isecpartners.com/blog/2012/9/14/details-on-the-crime-...) новый способ перехвата на промежуточном шлюзе содержимого сессионных Cookie, передаваемых внутри зашифрованного соединения. Новая атака, получившая название CRIME (Compression Ratio Info-leak Made Easy), эффективна для каналов связи на основе SSL/TLS и SPDY, действует только при использовании сжатия передаваемых данных и требует выполнения JavaScript-кода злоумышленника в браузере клиента (в случае man-in-middle атак осуществить подстановку такого кода не составляет труда).По своей сути CRIME является продолжением развития идей, воплощённых (http://www.opennet.ru/opennews/art.shtml?num=31797) в методе атаки BEAST. Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить Cookie, в рамках общего шифрованного канала связи. Используя тот факт, что данные сжимаются на этапе до шифрования и не подвергаются дополнительной рандомизации, новая атака позволяет обойти средства защиты, добавленные производителями браузеров для блокирования атаки BEAST.
В качестве демонстрации, на транзитном хосте, через который был перенаправлен трафик клиента, был организован перехват сессий для защищённых каналов связи с сервисами Gmail, GitHub, Twitter, Dropbox и Yahoo Mail. Общее число серверов, поддерживающих сжатие SSL/TLS оценивается (https://community.qualys.com/blogs/securitylabs/2012/09/14/c...) в 42%. По заявлению авторов CRIME, они заранее связались с производителями браузеров и в последние версии Chrome и Firefox (только данные браузеры поддерживают протокол SPDY) уже включены надлежащие патчи, позволяющие защититься от новой техники атаки. Что касается браузеров поддерживающих сжатие SSL/TLS, то в последних выпусках Chrome, Firefox, Opera и Safari сжатие трафика для SSL/TLS было по умолчанию отключено (Internet Explorer подобное сжатие не поддерживается вообще). На стороне сервера защититься от атаки можно отключив сжатие SSL/TLS, например, для Apache 2.4 можно указать в настройках "SSLCompression off". Концептуальный прототип приложения для осуществления атаки можно найти здесь (https://gist.github.com/3698401).<center><iframe width="480" height="360" src="http://www.youtube.com/embed/gGPhHYyg9r4?rel=0" frameborder="0" allowfullscreen></iframe></center>
URL: http://isecpartners.com/blog/2012/9/14/details-on-the-crime-...
Новость: http://www.opennet.ru/opennews/art.shtml?num=34869
Патчик для Апача 2.2+ https://issues.apache.org/bugzilla/attachment.cgi?id=28804
А если Cookie отключены?
Cookie - это одна из возможных целей атаки, а не инструмент.
Косяк тут: "данные сжимаются на этапе до шифрования и не подвергаются дополнительной рандомизации"
Что за бред?
Какая нафиг "дополнительная рандомизация"?
Ну и флажок в * сжимальщикам данных "после шифрования".
> Что за бред?1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ!
Совсем кукус?
Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick." в кодировке ROT13.
http://www.retards.org/projects/rot13/
> Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick."
> в кодировке ROT13.
> http://www.retards.org/projects/rot13/про 3DES не слышал? Ну, иди сжимай зашифрованное.
[сообщение отредактировано модератором]
> Для тупого: про 3DES не слышал? Ну, иди сжимай зашифрованное.multi-round от multi-count отличить смогём?
> Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick."
> в кодировке ROT13.Ты еще XOR с константой вспомни. А ничего что ROT13 в принципе не претендует на криптостойкость? :)
с развитием "матричных вычислитиле" - пример видеокарта, к концу следущего года сильно сомневаю что любо известный на сегодня алгоритм крипто защиты - так себе защищает. т.е. если кому то надо ломануть твою ssl сессию он просто это сделает.
> с развитием "матричных вычислитиле" - пример видеокарта, к концу следущего года сильно
> сомневаю что любо известный на сегодня алгоритм крипто защиты - так
> себе защищает. т.е. если кому то надо ломануть твою ssl сессию
> он просто это сделает.Это что ещё за импортный товарищь тут? :)
Мужик, ты если чё, пиши на английском, мы тут понимаем....
Google translate не надо юзать!
Шифрованое и сжатое - разные вещи, не?
> Шифрованое и сжатое - разные вещи, не?ну.. майкросовтовский pptp - чего там больше компресси или шифрования?
Когда в NetworkManager можно будет использовать L2TP?
тестируйте
http://forum.ubuntu.ru/index.php?topic=181916
За что вы так ненавидите нас, милых пушистых созданий? Хомячки не умеют устанавливать пакеты в Fedora иначе, чем gpk-application (yum) из репозиториев... Так что пока PPTP - наше всё.
>> Шифрованое и сжатое - разные вещи, не?
> ну.. майкросовтовский pptp - чего там больше компресси или шифрования?маразма там больше
> 1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ!Это откуда такая логика вытекает? Криптостойкий алгоритм должен давать на выходе последовательность выглядящую как рандом. Шифрование рандома - ничему не противоречит.
Более того, есть техника расшифровки рандома в нечто (тоже рандомное). Вполне себе используется.
Хотя конечно, если шифровать ROT13 ламерской XORкой с константой - это "шифрование", определенно, разломают. А чему противоречит например зашифровать вывод того же RC4 например AES-ом? Получится "луковица" - 2 разных алгоритма и 2 ключа.
> Хотя конечно, если шифровать ROT13 ламерской XORкой с константой - это "шифрование",
> определенно, разломают.XOR c константой (точнее со случайными константами равными по размеру самому сообщению) - самое стойкое шифрование (но только один раз)
>1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ!Вызывающее 4.2. Сударь, вы что-то путаете.
>>1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ!
> Вызывающее 4.2. Сударь, вы что-то путаете.Мужики, вы только какашками не кидайтесь, доказательство сего факта занимает 500 стр.
Если у кого есть время, спросите у своих преподов по Теор.Веру, о функции двух
случайных величин.Если мне не изменяет моск, там будет сумма двух двойных интегралов второго рода
по области расспределения их случ. величин.Ладно, ненужная хуета всё это. Хацкеры, особо импортные - это тупое математическое быдло,
у них моск думает только так, как написано в учебниках по матану и как сказал Кнут, Кериган
и Рытчи. По этому их наипать - как два байта об асфальт.1. Внесение говна (например шум движка ВАЗ 2106, в -35 мороз) в передаваемые данные - пущай мучаются.
2. Использование простых и чисел Фибоначчи.
3. Выжрите литр водки и напишите функцию расспределения - это им ваааще не доступно.
4. Берите входящие данные из сферы не связанной с электроникой и ВТ
(например удои коров села Заветы Ильича, Калужской области за 1964 год).
5. Используйте в разработках трансцендентные функции - sin(), cos(), exp(), pi^x, x^pi ...
6. Для создания энтропии используйте тексты написанные pavlinux. Он уже всё продумал за Вас. :-* Чмоки, чмоки, свалил спать.
Объясните пожалуйста, почему шифровать сжатое можно, а сжимать шифрованное нельзя? Или нельзя и то и другое, а данная функция в браузере - fail?
В шифрованных данных нет очевидных закономерностей, поэтому их особо не сожмёшь.
ндаааа онолитеги...
шифрование и сжатие две, большие разницы.
Нет. И то, и то - кодирование.
> Нет. И то, и то - кодирование.Ну тогда и трансформация битов в электрические импульсы - кодирование. Только вот хоть это и кодирование, а тут полный оффтопик :)
> Internet Explorer подобное сжатие не поддерживается вообщеКажется, я внезапно осознал всю хитрость политики безопасности MS: «нет возможности — нет уязвимости».
У них других уязвимостей хватает, так что толку то, особенно с их "оперативным" выпуском патчей раз в месяц :)
Иногда, кстати, очень не плохая политика.
> Используя тот факт, что данные сжимаются на этапе до шифрования и не
> подвергаются дополнительной рандомизации, новая атака позволяет обойти
> средства защиты, добавленные производителями браузеров для блокирования атаки BEAST.Есть такая штука - padding. Но некоторым все так же удается встать на старые, давно всем известные грабли :)
как и "соль"
Ещё в обсуждении BEAST говорилось, что одно из правил криптографии - дать злоумышленнику возможность зашифровать любое количество любых данных и посмотреть на результаты, но так, чтобы не скомпрометировать систему.
Сразу подбирать Cookie должно быть проще, чем "расшифровывать" их перебором.
все конечно хорошо, но я что-то не представляю, как можно вклиниться в канал связи (man-in-middle), весь сигнал проходит через узлы операторов связи, а у них с безопасностью все должно быть в порядке, или любой с улицы может спокойно войти в здание? опять же, откуда злоумышленнику знать, каким маршрутом пойдет сигнал?
Чо-чо там с безопасностью СОРМ-2?
> весь сигнал проходит через узлы операторов связи, а
> у них с безопасностью все должно быть в порядкеВ провайдере могут оказаться гнусные люди, которые попробуют подобрать ваши пароли, преследуя свои, гнусные цели.
> все конечно хорошо, но я что-то не представляю, как можно вклиниться в
> канал связи (man-in-middle), весь сигнал проходит через узлы операторов связи, а
> у них с безопасностью все должно быть в порядке, или любой
> с улицы может спокойно войти в здание? опять же, откуда злоумышленнику
> знать, каким маршрутом пойдет сигнал?Ну да, ну да, вы ещё на безопасность в госконторах положитесь, гулять так гулять!
Сегодня для Ubuntu прилетел апдейт апача, закрывающий эту уязвимость.