The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.02.2013 20:11  Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений

В различных реализациях протоколов SSL, TLS и DTLS, в том числе в OpenSSL, GnuTLS, PolarSSL, OpenJDK, CyaSSL, MatrixSSL, yaSSL и NSS, обнаружена возможность совершения атаки, позволяющей в процессе длительного перебора восстановить содержимое предсказуемых отрывков контента, передаваемого внутри отдельных блоков защищённого соединения. В целом атака достаточно труднореализуема, но интересна своим подходом к решению задачи.

Суть метода сводится к тому, что вначале осуществляется перехват зашифрованных блоков, после чего, используя известные проблемы TLS-режима CBC (Cipher Block Chaining), атакующий заменяет несколько последних блоков на подставные блоки, отправляет изменённую перехваченную последовательность и измеряет время реакции сервера. Проблемные реализации SSL отличаются тем, что переданный атакующим зашифрованный блок обрабатывается заметно быстрее, если он заполнен корректно (корректное padding-заполнение, используемое для выравнивания зашифрованного блока по границе 8 или 16 байт, определяется быстрее). TLS после каждой неудачи разрывает соединение и требует создания новой сессии.

Таким образом атакующий может организовать отправку большого числа пробных TLS-сообщений, накапливая статистику о времени ответа сервера на каждый запрос. В конечном счёте с определённой вероятностью можно понять, что попытка подбора оказались успешной. С практической стороны атака может применяться для восстановления содержимого значения аутентификационной Сookie или других небольших предсказуемых данных.

Для успеха подбора аутентификационной Сookie типового сайта требуется отправка колоссального числа пробных запросов (нужно создать порядка 223 сессий), что придаёт атаке в основном умозрительный характер. Тем не менее, чем более предсказуемо содержимое, тем меньше попыток требуется, например, если используется BASE64-кодирование, то число попыток уменьшается до 219, а если содержимое байта в последних двух позициях блока заранее известно - 213. Для увеличения эффективности атаки до 213 также предлагается использовать элементы несколько лет назад представленной техники BEAST, основанной на использовании JavaScript-кода в браузере жертвы для генерации блоков с заранее известным содержимым.

В настоящее время проблема уже устранена в OpenSSL (1.0.1d, 1.0.0k и 0.9.8y), GnuTLS (3.1.7, 3.0.28 и 2.12.23), PolarSSL 1.2.5, CyaSSL 2.5.0, MatrixSSL 3.4.1 и в браузере Opera 12.13.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
  3. OpenNews: Tor и Firefox не подвержены атаке против SSL/TLS
  4. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  5. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  6. OpenNews: Представлено TACK, расширение SSL/TLS для борьбы с MITM-атаками и поддельными сертификатами
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, cookie, security, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.2, Аноним (-), 21:46, 07/02/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Угадать нужно значение аутентификационной Сookie, а не размер. Как в этом поможет выравнивание?
     
     
  • 2.12, pavlinux (ok), 00:13, 08/02/2013 [^] [ответить]    [к модератору]
  • +1 +/
    Не понятно другое, что время ответа реального сервера,
    мало зависит от данных, но пропорционально его загруженности.

    Для российских провайдеров, особенно МТС, это техника ваще бесполезна,
    ибо искать закономерность в хаосе с задержками - нереально.  

     
     
  • 3.14, Аноним (-), 17:00, 08/02/2013 [^] [ответить]     [к модератору]
  • +/
    Тащемта, цель МТС - телефония, а не провайдерство тырнета ... весь текст скрыт [показать]
     
     
  • 4.17, pavlinux (ok), 18:10, 08/02/2013 [^] [ответить]    [к модератору]  
  • +/
    > Тащемта, цель МТС - телефония, а не провайдерство тырнета.

    Из любопытства хотябы на их сайт зашёл, в услуги посмотрел.

    МТС никого не спросив купила МТУ-Информ, а с ним и пару мильонов
    юзеров ADSL-,Ethernet-сетей. Подсосала под себя Комстар с  юзерами WiMax,
    и там же кормится МГТС. Объединилаи всех в один канал, включая старых
    мобильных и теперь связь стала полное говно. Потомуша у мобильного
    трафика приоритет больше, качают раз в 100 меньше, при этом стоит
    в три раза дешевле. (или в 30 раз дороже).

     
  • 1.3, A.Stahl (?), 21:48, 07/02/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >проблема уже устранена

    Т.е проблема не существует, но её уже побороли?
    Одна (практическая) половина моей шизофренической личности говорит, что код был бесполезно усложнён, а другая (параноидальная) половина говорит: "Грр... У-у-у!...Бр-бр-бр..."

     
     
  • 2.5, Dron (ok), 22:33, 07/02/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Да, я вот тоже думаю... Если проблема состояла в том, что неправильные данные обрабатываются дольше чем правильные... они ускорили обработку неправильных или замедлили обработку правильных? :)
     
     
  • 3.6, A.Stahl (?), 22:41, 07/02/2013 [^] [ответить]    [к модератору]  
  • +/
    Мне кажется, что это не так уж и важно.
    2^13 это много. Это неимоверно много. Так что эта так называемая "атака" представляет лишь академический интерес. Вряд ли какая-либо сессия будет длиться дольше, чем будет собираться статистика из как минимум 2^13 запросов.
    Я считаю, что в ответ на подобные изыскания разработчики библиотек должны были бы лишь улыбнуться и заняться чем-то более полезным.
     
     
  • 4.7, Dron (ok), 22:56, 07/02/2013 [^] [ответить]    [к модератору]  
  • +/
    Я так и знал, они тормознули крутейший memcmp! Теперь он при совпадении и при несовпадении работает с одинаковой скоростью.

    При запросах через сеть - может быть и много, а перебором - раз плюнуть. Подходы можно разные найти.

     
  • 4.8, Аноним (-), 22:56, 07/02/2013 [^] [ответить]    [к модератору]  
  • +/
    8192 это много ???
     
     
  • 5.11, A.Stahl (?), 23:11, 07/02/2013 [^] [ответить]    [к модератору]  
  • +/
    >8192

    Тьфу ты. Пишу одно, думаю другое...
    Я на изначальные 2^23 смотрел.

    А так да. 8192 пакетов не так уж и мало, но ничего особенного.

     
  • 4.10, КЭП (?), 23:06, 07/02/2013 [^] [ответить]    [к модератору]  
  • +/
    2^13 это всего лишь 8192. А это очень мало.
     
  • 3.9, sergey.vfx (?), 23:01, 07/02/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Неправильные данные обрабатывались быстрее, что есть логично :)
     
  • 1.4, Анонимнез (?), 22:16, 07/02/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    md5 тоже когдато был трудноломаем
     
     
  • 2.15, Аноним (-), 17:01, 08/02/2013 [^] [ответить]    [к модератору]  
  • +/
    > md5 тоже когдато был трудноломаем

    Это было давно и неправда.

     
  • 1.13, Аноним (-), 09:34, 08/02/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    это известный тип проблем. она сродни взлома кода на смарткартах анализируя ток потребления. Также можно получать информацию смотря на cachemiss, если имееш логин на сайте.

    поправят

     
     
  • 2.16, Аноним (-), 17:01, 08/02/2013 [^] [ответить]     [к модератору]  
  • +/
    Великий и могучий, о русский языка А по каковски-это ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor