The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

07.02.2013 20:11  Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений

В различных реализациях протоколов SSL, TLS и DTLS, в том числе в OpenSSL, GnuTLS, PolarSSL, OpenJDK, CyaSSL, MatrixSSL, yaSSL и NSS, обнаружена возможность совершения атаки, позволяющей в процессе длительного перебора восстановить содержимое предсказуемых отрывков контента, передаваемого внутри отдельных блоков защищённого соединения. В целом атака достаточно труднореализуема, но интересна своим подходом к решению задачи.

Суть метода сводится к тому, что вначале осуществляется перехват зашифрованных блоков, после чего, используя известные проблемы TLS-режима CBC (Cipher Block Chaining), атакующий заменяет несколько последних блоков на подставные блоки, отправляет изменённую перехваченную последовательность и измеряет время реакции сервера. Проблемные реализации SSL отличаются тем, что переданный атакующим зашифрованный блок обрабатывается заметно быстрее, если он заполнен корректно (корректное padding-заполнение, используемое для выравнивания зашифрованного блока по границе 8 или 16 байт, определяется быстрее). TLS после каждой неудачи разрывает соединение и требует создания новой сессии.

Таким образом атакующий может организовать отправку большого числа пробных TLS-сообщений, накапливая статистику о времени ответа сервера на каждый запрос. В конечном счёте с определённой вероятностью можно понять, что попытка подбора оказались успешной. С практической стороны атака может применяться для восстановления содержимого значения аутентификационной Сookie или других небольших предсказуемых данных.

Для успеха подбора аутентификационной Сookie типового сайта требуется отправка колоссального числа пробных запросов (нужно создать порядка 223 сессий), что придаёт атаке в основном умозрительный характер. Тем не менее, чем более предсказуемо содержимое, тем меньше попыток требуется, например, если используется BASE64-кодирование, то число попыток уменьшается до 219, а если содержимое байта в последних двух позициях блока заранее известно - 213. Для увеличения эффективности атаки до 213 также предлагается использовать элементы несколько лет назад представленной техники BEAST, основанной на использовании JavaScript-кода в браузере жертвы для генерации блоков с заранее известным содержимым.

В настоящее время проблема уже устранена в OpenSSL (1.0.1d, 1.0.0k и 0.9.8y), GnuTLS (3.1.7, 3.0.28 и 2.12.23), PolarSSL 1.2.5, CyaSSL 2.5.0, MatrixSSL 3.4.1 и в браузере Opera 12.13.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
  3. OpenNews: Tor и Firefox не подвержены атаке против SSL/TLS
  4. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  5. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  6. OpenNews: Представлено TACK, расширение SSL/TLS для борьбы с MITM-атаками и поддельными сертификатами
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, cookie, security, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 21:46, 07/02/2013 [ответить] [смотреть все]
  • +/
    Угадать нужно значение аутентификационной Сookie, а не размер Как в этом поможе... весь текст скрыт [показать]
     
     
  • 2.12, pavlinux, 00:13, 08/02/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Не понятно другое, что время ответа реального сервера,
    мало зависит от данных, но пропорционально его загруженности.

    Для российских провайдеров, особенно МТС, это техника ваще бесполезна,
    ибо искать закономерность в хаосе с задержками - нереально.  

     
     
  • 3.14, Аноним, 17:00, 08/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Тащемта, цель МТС - телефония, а не провайдерство тырнета ... весь текст скрыт [показать]
     
     
  • 4.17, pavlinux, 18:10, 08/02/2013 [^] [ответить] [смотреть все]  
  • +/
    > Тащемта, цель МТС - телефония, а не провайдерство тырнета.

    Из любопытства хотябы на их сайт зашёл, в услуги посмотрел.

    МТС никого не спросив купила МТУ-Информ, а с ним и пару мильонов
    юзеров ADSL-,Ethernet-сетей. Подсосала под себя Комстар с  юзерами WiMax,
    и там же кормится МГТС. Объединилаи всех в один канал, включая старых
    мобильных и теперь связь стала полное говно. Потомуша у мобильного
    трафика приоритет больше, качают раз в 100 меньше, при этом стоит
    в три раза дешевле. (или в 30 раз дороже).

     
  • 1.3, A.Stahl, 21:48, 07/02/2013 [ответить] [смотреть все]  
  • +2 +/
    >проблема уже устранена

    Т.е проблема не существует, но её уже побороли?
    Одна (практическая) половина моей шизофренической личности говорит, что код был бесполезно усложнён, а другая (параноидальная) половина говорит: "Грр... У-у-у!...Бр-бр-бр..."

     
     
  • 2.5, Dron, 22:33, 07/02/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Да, я вот тоже думаю... Если проблема состояла в том, что неправильные данные обрабатываются дольше чем правильные... они ускорили обработку неправильных или замедлили обработку правильных? :)
     
     
  • 3.6, A.Stahl, 22:41, 07/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Мне кажется, что это не так уж и важно.
    2^13 это много. Это неимоверно много. Так что эта так называемая "атака" представляет лишь академический интерес. Вряд ли какая-либо сессия будет длиться дольше, чем будет собираться статистика из как минимум 2^13 запросов.
    Я считаю, что в ответ на подобные изыскания разработчики библиотек должны были бы лишь улыбнуться и заняться чем-то более полезным.
     
     
  • 4.7, Dron, 22:56, 07/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Я так и знал, они тормознули крутейший memcmp! Теперь он при совпадении и при несовпадении работает с одинаковой скоростью.

    При запросах через сеть - может быть и много, а перебором - раз плюнуть. Подходы можно разные найти.

     
  • 4.8, Аноним, 22:56, 07/02/2013 [^] [ответить] [смотреть все]  
  • +/
    8192 это много ???
     
     
  • 5.11, A.Stahl, 23:11, 07/02/2013 [^] [ответить] [смотреть все]  
  • +/
    >8192

    Тьфу ты. Пишу одно, думаю другое...
    Я на изначальные 2^23 смотрел.

    А так да. 8192 пакетов не так уж и мало, но ничего особенного.

     
  • 4.10, КЭП, 23:06, 07/02/2013 [^] [ответить] [смотреть все]  
  • +/
    2^13 это всего лишь 8192. А это очень мало.
     
  • 3.9, sergey.vfx, 23:01, 07/02/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Неправильные данные обрабатывались быстрее, что есть логично :)
     
  • 1.4, Анонимнез, 22:16, 07/02/2013 [ответить] [смотреть все]  
  • +/
    md5 тоже когдато был трудноломаем
     
     
  • 2.15, Аноним, 17:01, 08/02/2013 [^] [ответить] [смотреть все]  
  • +/
    > md5 тоже когдато был трудноломаем

    Это было давно и неправда.

     
  • 1.13, Аноним, 09:34, 08/02/2013 [ответить] [смотреть все]  
  • +/
    это известный тип проблем она сродни взлома кода на смарткартах анализируя ток ... весь текст скрыт [показать]
     
     
  • 2.16, Аноним, 17:01, 08/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Великий и могучий, о русский языка А по каковски-это ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList