The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

06.08.2013 22:47  Представлен новый вид атаки по перехвату данных, передаваемых через HTTPS-соединения

На прошедшей конференции Black Hat была обнародована информация о новом виде атаки BREACH, позволяющем восстановить содержимое отдельных секретных идентификаторов (например, сессионные cookie и CSRF-токены), передаваемых внутри зашифрованного HTTPS-соединения. Метод атаки BREACH практически идентичен представленной в прошлом году атаке CRIME (Compression Ratio Info-leak Made Easy), за тем исключением, что атака оперирует особенностью изменения характера потока при сжатии на уровне HTTP, а не при сжатии на уровне TLS/SSL, как в случае с CRIME.

Для организации атаки требуется получение контроля за трафиком на промежуточном шлюзе и выполнение на стороне браузера клиента JavaScript-кода злоумышленника (в случае получения контроля над транзитным шлюзом, осуществить подстановку JavaScript-кода в незащищённый трафик не составляет труда). Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить идентификационные данные, в рамках общего шифрованного канала связи.

Так как содержимое отправляемых JavaScript-кодом помеченных пакетов известно, за исключением секретного идентификатора, и известен размер всех данных, то путем повторной отправки подставных запросов атакующий может символ за символом угадать содержимое искомых данных, сопоставляя свои попытки изменением размера сжатых данных (восстановление CSRF-токена было продемонстрировано за 30 секунд, потребовав отправки примерно 4000 пробных запросов). Точность восстановления оценивается в 95%.

Если для защиты от CRIME уже повсеместно отключено сжатие на уровне TLS/SSL, то в случае BREACH требуется отключение сжатия gzip/deflate на уровне HTTP. В качестве метода защиты на уровне web-приложений, предлагается случайным образом менять представление секретных идентификаторов при каждом запросе, например, через операцию XOR со случайной маской.

  1. Главная ссылка к новости (http://threatpost.com/breach-c...)
  2. OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, crypt, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 23:13, 06/08/2013 [ответить] [смотреть все]
  • +/
    как хорошо что в последнем firefox убрали опцию "noscript"
     
     
  • 2.2, Аноним, 23:19, 06/08/2013 [^] [ответить] [смотреть все] [показать ветку]
  • –2 +/
    «Честному человеку скрывать нечего» ©
     
     
  • 3.5, JOO, 23:36, 06/08/2013 [^] [ответить] [смотреть все]
  • –4 +/
    "Все врут" ©
     
     
  • 4.7, Аноним, 23:40, 06/08/2013 [^] [ответить] [смотреть все]
  • +5 +/
    > "Все врут" ©

    Врет ли врун, когда говорит, что он врет?

     
     
  • 5.9, Аноним, 00:06, 07/08/2013 [^] [ответить] [смотреть все]
  • –3 +/
    Рекурсия
     
     
  • 6.12, Аноним, 00:10, 07/08/2013 [^] [ответить] [смотреть все]  
  • +7 +/
    > Рекурсия

    Нет, всего лишь антиномия.

     
  • 6.16, Ordu, 00:16, 07/08/2013 [^] [ответить] [смотреть все]  
  • +11 +/
    Нет. Это не рекурсия. Что за манера сводить всё разнообразие проявлений окружающей среды к своему ограниченному лексикону? Это не рекурсия, а логический парадокс. Гурманы, разбирающиеся в сортах парадоксов, назвали бы его антиномией. Сия антиномия, известна как минимум, со времён Древней Греции. Ну и да, к сегодняшнему дню, математика вполне в состоянии справится с этим парадоксом, поэтому называть его парадоксом не совсем корректно. Но, для сельской местности, сойдёт.
     
     
  • 7.25, Gabrusenko, 08:40, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    автореференция это
     
     
  • 8.46, Аноним, 13:31, 07/08/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    Автореферентные высказывания, безусловно, относятся к рекуррентным возвратным ,... весь текст скрыт [показать]
     
     
  • 9.68, X86, 14:20, 10/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Спасибо тебе, что ты есть, мыслящий человек! :)
     
  • 5.18, JOO, 00:33, 07/08/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Уговорил. Доформулирую.
    Все лгут, но не всегда.
     
     
  • 6.65, Аноним, 23:52, 08/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Как говорил Капитан Очевидность, я говорю правду всегда, кроме случаев, когда я... весь текст скрыт [показать]
     
  • 5.23, Andrew Kolchoogin, 07:22, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Цирюльник в деревне занимается тем, что бреет тех людей, которые не бреются сами... весь текст скрыт [показать]
     
     
  • 6.36, the joker, 11:55, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Оба ответа противоположных верны одновременно а Да, он бреется сам б Нет, ... весь текст скрыт [показать]
     
     
  • 7.64, Аноним, 23:50, 08/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Нет, он вообще не бреется Потому что автор поста выше забыл указать, что цирюль... весь текст скрыт [показать]
     
  • 6.40, Anonymous_Smoke, 12:24, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Не бреет. Он вообще не бреет бороду.
     
  • 6.45, Аноним, 13:30, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Не он, а она.
     
     
  • 7.49, Филимон Шорохов, 14:21, 07/08/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Цирюльник - индеец. У них бороды не растут.
     
  • 5.50, Аноним, 14:36, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Врет! Врун всегда врет!
     
  • 5.55, Аноним, 19:00, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    всё же не врёт, получается
     
  • 2.4, marks, 23:31, 06/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Расширения ставить религия не позволяет?
     
     
  • 3.6, Аноним, 23:40, 06/08/2013 [^] [ответить] [смотреть все]  
  • +4 +/
    sarcasm Мозилловцы уже обсуждают необходимость выпилить API-функции, требуемые... весь текст скрыт [показать]
     
     
  • 4.11, Crazy Alex, 00:09, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Ссылочку приведете?
     
     
  • 5.14, Аноним, 00:10, 07/08/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    > Ссылочку приведете?

    Это инсайд.

     
     
  • 6.35, Аноним, 11:50, 07/08/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    > Это инсайд.

    Это жирный троллинг, имхо.

     
     
  • 7.60, Шакалик, 02:07, 08/08/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    >> Это инсайд.
    > Это жирный троллинг, имхо.

    Увы, нет.

     
  • 4.26, хрюкотающий зелюк, 09:17, 07/08/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    только ради NoScript сижу на фоксе, неужели ... весь текст скрыт [показать]
     
  • 3.8, Аноним, 00:04, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Интересно какой логикой надо обладать что бы запилить по умолчанию недофаербаг, ... весь текст скрыт [показать]
     
     
  • 4.10, Аноним, 00:07, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    «Целостность интерфейса»™ же.
     
     
  • 5.34, Аноним, 11:47, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Кроме того это достаточно глубокое влезание в механику браузера Расширения ф... весь текст скрыт [показать]
     
     
  • 6.66, Аноним, 23:54, 08/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Обеспечение API для аддонов в core, как правило, гораздо сложнее реализации тех ... весь текст скрыт [показать]
     
  • 6.67, Аноним, 00:44, 09/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Могу ещё раз повторить вопрос и переформулировать его Вот есть простой пользова... весь текст скрыт [показать]
     
  • 4.13, Crazy Alex, 00:10, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Да не выкидывал фичу, там новость непонятно как писали Убрали из окошка настрое... весь текст скрыт [показать]
     
  • 4.22, Аноным, 02:49, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Большинству не нужно, всё, можно выкидывать.
     
     
  • 5.28, SubGun, 10:20, 07/08/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Пропаганда меньшинства запрещена)
     
     
  • 6.37, the joker, 11:59, 07/08/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Меньшинства-то как раз под защитой А вот кто защитит большинство от этих самых ... весь текст скрыт [показать]
     
     
  • 7.38, ИТтаджик, 12:13, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Ссыкливое большинство, умеющее только гадить на форумах и мелкопакостить в Манеж... весь текст скрыт [показать]
     
  • 2.17, Аноним, 00:17, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Но при этом добавили опцию, блокирующую выполнение незащищенных скриптов на защи... весь текст скрыт [показать] [показать ветку]
     
  • 2.20, Xasd, 01:41, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +11 +/
    > как хорошо что в последнем firefox убрали опцию "noscript"

    Javascript тут не причём.

    если предполижить что Javascript отключен -- то туже самую атаку можно сделать через <IFRAME> в сочитании с <META HTTP-EQUIV="REFRESH" ...>

    так что прекратите пороть чушь.

    если уж хотите глобального_и_радикального решения проблемы.

    то нужно запретить HTTP-протокол , и разрешить только HTTPS (с обязательной проверкой сертификата по DANE (DNS-based Authentication of Named Entities)).

    а также запретить IFRAME , и вообще все все ресурсы (даже картинки) подгружать только через CORS (Cross-origin resource sharing)...

    ...а Javascript тут виноват только в последнюю очередь...

     
     
  • 3.33, Аноним, 11:29, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    после чего соотв ауторити просто начнут выписку левых сертов и вся эта фигня... весь текст скрыт [показать]
     
     
  • 4.52, Xasd, 16:58, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    ды ауторити пусть хоть обвыписываются своими левыми сертифкатами, но всё равно э... весь текст скрыт [показать]
     
     
  • 5.56, Аноним, 19:21, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Поэтому MITM просто поставит свой DNS сервер без этой байды посередине Поскольк... весь текст скрыт [показать]
     
  • 3.47, лох, 13:31, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    перепутал ту же самую атаку можно будет сделать всегда, если клиент браузер, п... весь текст скрыт [показать]
     
     
  • 4.57, Аноним, 19:23, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Вот это не обязательно, кстати Если на уровне протокола предусмотреть некий pad... весь текст скрыт [показать]
     
  • 3.48, Аноним, 13:37, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    IFRAME NoScript тоже умеет блочить Это расширение вообще очень мощная штука для... весь текст скрыт [показать]
     
  • 2.24, Аноним, 07:38, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    убрали и павильно Если бы можно было для определенныз сацтов разрешать это одно... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, Аноним, 11:14, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Б-ть, не печатайте на опеннет с тетрисов.
     
  • 2.29, Аноним, 11:13, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Поэтому есть аддон NoScript, который куда более разумно поступает - позволяет вы... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 23:27, 06/08/2013 [ответить] [смотреть все]  
  • +/
    Ох уж этот жабакод злоумышленника
     
  • 1.15, Crazy Alex, 00:11, 07/08/2013 [ответить] [смотреть все]  
  • +/
    Не понял - а что, так сложно не позволять исполнять незащищенный JS на защищенной странице?
     
     
  • 2.19, Xasd, 01:33, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    например заходишь ты на http twitter com и сервер тебя переадресовывает на htt... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Аноним, 09:55, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    а ежели сразу на https заходить, тогда, выходит, атака невозможно не лучше л... весь текст скрыт [показать]
     
     
  • 4.39, Anonymouse, 12:21, 07/08/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    Уже есть такой. См. eff.org/https-everywhere
     
  • 3.32, Аноним, 11:27, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Свежий лис не грузит не-HTTPS контент на HTTPS страницах по умолчанию ... весь текст скрыт [показать]
     
  • 3.44, Crazy Alex, 13:26, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    Ага, дошло Ну да, можно же через формы или ифреймы дергать раз за разом HTTPS-а... весь текст скрыт [показать]
     
     
  • 4.53, Xasd, 17:01, 07/08/2013 [^] [ответить] [смотреть все]  
  • +/
    верно ... весь текст скрыт [показать]
     
  • 2.21, Аноним, 01:55, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Нужно больше песочниц.
     
  • 2.31, Аноним, 11:26, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Свежий 23-й лис кстати так и сделает - матюкнется что не шифрованный контент на ... весь текст скрыт [показать] [показать ветку]
     
  • 1.41, Аноним, 12:54, 07/08/2013 [ответить] [смотреть все]  
  • +2 +/
    Если есть выполнение на стороне браузера клиента JavaScript-кода злоумышленника... весь текст скрыт [показать]
     
  • 1.42, Нанобот, 12:55, 07/08/2013 [ответить] [смотреть все]  
  • +/
    >В качестве метода защиты на уровне web-приложений, предлагается случайным образом менять представление секретных идентификаторов при каждом запросе, например, через операцию XOR со случайной маской.

    костыли! причём кривые

     
  • 1.43, Аноним, 13:15, 07/08/2013 [ответить] [смотреть все]  
  • +/
    Подскажите плиз, если у апача отключить mod_deflate и mod_gzip, то эксплуатация ... весь текст скрыт [показать]
     
     
  • 2.51, Аноним, 15:17, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    хотел сказать, "эксплуатация уязвимости будет невозможна?"
     
  • 1.54, Sylvia, 18:06, 07/08/2013 [ответить] [смотреть все]  
  • +/
    очень понравился лаконичный ответ Игоря Сысоева

    "gzip off" от SSL-enabled sites.
    --
    Igor Sysoev

     
     
  • 2.58, Аноним, 19:24, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Только у SSL еще встроенное сжатие zlib есть Это как раз соседняя атака Скольк... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, Sylvia, 07:25, 08/08/2013 [^] [ответить] [смотреть все]  
  • +/
    в nginx сжатие на уровне openssl давно отключено
     
  • 2.59, Аноним, 21:03, 07/08/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Бред сивой кобыли gzip относиться только к модулю HTTP ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, Sylvia, 07:27, 08/08/2013 [^] [ответить] [смотреть все]  
  • +/
    >>> "gzip off" от SSL-enabled sites.
    > Бред сивой кобыли
    > gzip относиться только к модулю (HTTP)

    директива работает на любом блоке server {} втч и в случае listen 443 ssl;
    и да, нам как раз и нужно отключить сжатие на уровне http

     
  • 1.63, Аноним, 14:42, 08/08/2013 [ответить] [смотреть все]  
  • +/
    if ( $scheme = "https" ) { gzip off }
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor