The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.08.2013 22:47  Представлен новый вид атаки по перехвату данных, передаваемых через HTTPS-соединения

На прошедшей конференции Black Hat была обнародована информация о новом виде атаки BREACH, позволяющем восстановить содержимое отдельных секретных идентификаторов (например, сессионные cookie и CSRF-токены), передаваемых внутри зашифрованного HTTPS-соединения. Метод атаки BREACH практически идентичен представленной в прошлом году атаке CRIME (Compression Ratio Info-leak Made Easy), за тем исключением, что атака оперирует особенностью изменения характера потока при сжатии на уровне HTTP, а не при сжатии на уровне TLS/SSL, как в случае с CRIME.

Для организации атаки требуется получение контроля за трафиком на промежуточном шлюзе и выполнение на стороне браузера клиента JavaScript-кода злоумышленника (в случае получения контроля над транзитным шлюзом, осуществить подстановку JavaScript-кода в незащищённый трафик не составляет труда). Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить идентификационные данные, в рамках общего шифрованного канала связи.

Так как содержимое отправляемых JavaScript-кодом помеченных пакетов известно, за исключением секретного идентификатора, и известен размер всех данных, то путем повторной отправки подставных запросов атакующий может символ за символом угадать содержимое искомых данных, сопоставляя свои попытки изменением размера сжатых данных (восстановление CSRF-токена было продемонстрировано за 30 секунд, потребовав отправки примерно 4000 пробных запросов). Точность восстановления оценивается в 95%.

Если для защиты от CRIME уже повсеместно отключено сжатие на уровне TLS/SSL, то в случае BREACH требуется отключение сжатия gzip/deflate на уровне HTTP. В качестве метода защиты на уровне web-приложений, предлагается случайным образом менять представление секретных идентификаторов при каждом запросе, например, через операцию XOR со случайной маской.

  1. Главная ссылка к новости (http://threatpost.com/breach-c...)
  2. OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, crypt, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 23:13, 06/08/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    как хорошо что в последнем firefox убрали опцию "noscript"
     
     
  • 2.2, Аноним (-), 23:19, 06/08/2013 [^] [ответить]    [к модератору]
  • –2 +/
    «Честному человеку скрывать нечего» ©
     
     
  • 3.5, JOO (?), 23:36, 06/08/2013 [^] [ответить]    [к модератору]
  • –4 +/
    "Все врут" ©
     
     
  • 4.7, Аноним (-), 23:40, 06/08/2013 [^] [ответить]    [к модератору]
  • +5 +/
    > "Все врут" ©

    Врет ли врун, когда говорит, что он врет?

     
     
  • 5.9, Аноним (-), 00:06, 07/08/2013 [^] [ответить]    [к модератору]
  • –3 +/
    Рекурсия
     
     
  • 6.12, Аноним (-), 00:10, 07/08/2013 [^] [ответить]    [к модератору]  
  • +7 +/
    > Рекурсия

    Нет, всего лишь антиномия.

     
  • 6.16, Ordu (ok), 00:16, 07/08/2013 [^] [ответить]    [к модератору]  
  • +11 +/
    Нет. Это не рекурсия. Что за манера сводить всё разнообразие проявлений окружающей среды к своему ограниченному лексикону? Это не рекурсия, а логический парадокс. Гурманы, разбирающиеся в сортах парадоксов, назвали бы его антиномией. Сия антиномия, известна как минимум, со времён Древней Греции. Ну и да, к сегодняшнему дню, математика вполне в состоянии справится с этим парадоксом, поэтому называть его парадоксом не совсем корректно. Но, для сельской местности, сойдёт.
     
     
  • 7.25, Gabrusenko (?), 08:40, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    автореференция это
     
     
  • 8.46, Аноним (-), 13:31, 07/08/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    Автореферентные высказывания, безусловно, относятся к рекуррентным (возвратным), которые не очень грамотные люди и называют обычно рекурсивными.
     
     
  • 9.68, X86 (ok), 14:20, 10/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Спасибо тебе, что ты есть, мыслящий человек! :)
     
  • 5.18, JOO (?), 00:33, 07/08/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    Уговорил. Доформулирую.
    Все лгут, но не всегда.
     
     
  • 6.65, Аноним (-), 23:52, 08/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > Уговорил. Доформулирую.
    > Все лгут, но не всегда.

    Как говорил Капитан Очевидность, "я говорю правду всегда, кроме случаев, когда я лгу".

     
  • 5.23, Andrew Kolchoogin (ok), 07:22, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Цирюльник в деревне занимается тем, что бреет тех людей, которые не бреются сами. Бреет ли он при этом сам себя?
     
     
  • 6.36, the joker (ok), 11:55, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Оба ответа противоположных верны одновременно а Да, он бреется сам б Нет, ... весь текст скрыт [показать]
     
     
  • 7.64, Аноним (-), 23:50, 08/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Нет, он вообще не бреется. Потому что автор поста выше забыл указать, что цирюльник бреет _всех_, кто не бреется сам. А без этой детали все становится очень просто (как говорят слесари на автобазе).
     
  • 6.40, Anonymous_Smoke (?), 12:24, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Не бреет. Он вообще не бреет бороду.
     
  • 6.45, Аноним (-), 13:30, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Не он, а она.
     
     
  • 7.49, Филимон Шорохов (?), 14:21, 07/08/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Цирюльник - индеец. У них бороды не растут.
     
  • 5.50, Аноним (-), 14:36, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Врет! Врун всегда врет!
     
  • 5.55, Аноним (-), 19:00, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    всё же не врёт, получается
     
  • 2.4, marks (?), 23:31, 06/08/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Расширения ставить религия не позволяет?
     
     
  • 3.6, Аноним (-), 23:40, 06/08/2013 [^] [ответить]     [к модератору]  
  • +4 +/
    sarcasm Мозилловцы уже обсуждают необходимость выпилить API-функции, требуемые... весь текст скрыт [показать]
     
     
  • 4.11, Crazy Alex (ok), 00:09, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Ссылочку приведете?
     
     
  • 5.14, Аноним (-), 00:10, 07/08/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ссылочку приведете?

    Это инсайд.

     
     
  • 6.35, Аноним (-), 11:50, 07/08/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > Это инсайд.

    Это жирный троллинг, имхо.

     
     
  • 7.60, Шакалик (?), 02:07, 08/08/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    >> Это инсайд.
    > Это жирный троллинг, имхо.

    Увы, нет.

     
  • 4.26, хрюкотающий зелюк (?), 09:17, 07/08/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    только ради NoScript сижу на фоксе, неужели ... весь текст скрыт [показать]
     
  • 3.8, Аноним (-), 00:04, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Интересно какой логикой надо обладать что бы запилить по умолчанию недофаербаг, ... весь текст скрыт [показать]
     
     
  • 4.10, Аноним (-), 00:07, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    «Целостность интерфейса»™ же.
     
     
  • 5.34, Аноним (-), 11:47, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Кроме того это достаточно глубокое влезание в механику браузера Расширения ф... весь текст скрыт [показать]
     
     
  • 6.66, Аноним (-), 23:54, 08/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Обеспечение API для аддонов в core, как правило, гораздо сложнее реализации тех функций, которые вынесены в аддоны.
     
  • 6.67, Аноним (-), 00:44, 09/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Могу ещё раз повторить вопрос и переформулировать его Вот есть простой пользова... весь текст скрыт [показать]
     
  • 4.13, Crazy Alex (ok), 00:10, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Да не выкидывал фичу, там новость непонятно как писали. Убрали из окошка настроек, оставив в about:config
     
  • 4.22, Аноным (ok), 02:49, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Большинству не нужно, всё, можно выкидывать.
     
     
  • 5.28, SubGun (ok), 10:20, 07/08/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Пропаганда меньшинства запрещена)
     
     
  • 6.37, the joker (ok), 11:59, 07/08/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    > Пропаганда меньшинства запрещена)

    Меньшинства-то как раз под защитой. А вот кто защитит большинство от этих самых меньшинств (которых расплодилось, как собак нерезанных)?

     
     
  • 7.38, ИТтаджик (?), 12:13, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Ссыкливое большинство, умеющее только гадить на форумах и мелкопакостить в Манеж... весь текст скрыт [показать]
     
  • 2.17, Аноним (-), 00:17, 07/08/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Но при этом добавили опцию, блокирующую выполнение незащищенных скриптов на защи... весь текст скрыт [показать]
     
  • 2.20, Xasd (ok), 01:41, 07/08/2013 [^] [ответить]    [к модератору]  
  • +11 +/
    > как хорошо что в последнем firefox убрали опцию "noscript"

    Javascript тут не причём.

    если предполижить что Javascript отключен -- то туже самую атаку можно сделать через <IFRAME> в сочитании с <META HTTP-EQUIV="REFRESH" ...>

    так что прекратите пороть чушь.

    если уж хотите глобального_и_радикального решения проблемы.

    то нужно запретить HTTP-протокол , и разрешить только HTTPS (с обязательной проверкой сертификата по DANE (DNS-based Authentication of Named Entities)).

    а также запретить IFRAME , и вообще все все ресурсы (даже картинки) подгружать только через CORS (Cross-origin resource sharing)...

    ...а Javascript тут виноват только в последнюю очередь...

     
     
  • 3.33, Аноним (-), 11:29, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    после чего соотв ауторити просто начнут выписку левых сертов и вся эта фигня... весь текст скрыт [показать]
     
     
  • 4.52, Xasd (ok), 16:58, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    ды ауторити пусть хоть обвыписываются своими левыми сертифкатами, но всё равно э... весь текст скрыт [показать]
     
     
  • 5.56, Аноним (-), 19:21, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Поэтому MITM просто поставит свой DNS сервер без этой байды посередине Поскольк... весь текст скрыт [показать]
     
  • 3.47, лох (?), 13:31, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    перепутал ту же самую атаку можно будет сделать всегда, если клиент браузер, п... весь текст скрыт [показать]
     
     
  • 4.57, Аноним (-), 19:23, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Вот это не обязательно, кстати Если на уровне протокола предусмотреть некий pad... весь текст скрыт [показать]
     
  • 3.48, Аноним (-), 13:37, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    IFRAME NoScript тоже умеет блочить. Это расширение вообще очень мощная штука для безопасности, рекомендую посмотреть.
     
  • 2.24, Аноним (-), 07:38, 07/08/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    убрали и павильно. Если бы можно было для определенныз сацтов разрешать это одно, а как там оно все равно бесполездно.
    Кому надо отключит через эбоут:конфиг или расширением носкрипт.
     
     
  • 3.30, Аноним (-), 11:14, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Б-ть, не печатайте на опеннет с тетрисов.
     
  • 2.29, Аноним (-), 11:13, 07/08/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Поэтому есть аддон NoScript, который куда более разумно поступает - позволяет вы... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 23:27, 06/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ох уж этот жабакод злоумышленника
     
  • 1.15, Crazy Alex (ok), 00:11, 07/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не понял - а что, так сложно не позволять исполнять незащищенный JS на защищенной странице?
     
     
  • 2.19, Xasd (ok), 01:33, 07/08/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    > Не понял - а что, так сложно не позволять исполнять незащищенный JS на защищенной странице?

    например заходишь ты на

    http://twitter.com

    и сервер тебя переадресовывает на

    httpS://twitter.com

    но это происходит в НОРМАЛЬНОМ случае..

    ..а в случае атаки:

    ты заходишь на

    http://twitter.com

    и тут включается CRIME-скрипт (или как его там?) ВМЕСТО переадесации на

    httpS://twitter.com

    # P.S.: стоит ли говорить про http-закоговок ---- HTTP Strict Transport Security (?) , который уже не позволит второй раз зайти на http если ты уже бывал хоть раз на https. так-что Firefox можно сказать УЖЕ на 99% защищён от этой фигни , если разработчик сайта вспомнил про "HTTP Strict Transport Security" . а если разработчик не вспомнил про этот заголовок -- то Firefox тоже защищён (но менее чем на 99%) :)

     
     
  • 3.27, Аноним (-), 09:55, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    а ежели сразу на https:// заходить, тогда, выходит, атака невозможно?
    не лучше ль тогда сварганить плагин, меняющий где только можно http на https?
     
     
  • 4.39, Anonymouse (?), 12:21, 07/08/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    Уже есть такой. См. eff.org/https-everywhere
     
  • 3.32, Аноним (-), 11:27, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > не вспомнил про этот заголовок -- то Firefox тоже защищён (но менее чем на 99%) :)

    Свежий лис не грузит не-HTTPS контент на HTTPS страницах по умолчанию.

     
  • 3.44, Crazy Alex (ok), 13:26, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Ага, дошло. Ну да, можно же через формы или ифреймы дергать раз за разом HTTPS-адрес с разными параметрами...
     
     
  • 4.53, Xasd (ok), 17:01, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > ...можно же через формы или ифреймы дергать раз
    > за разом HTTPS-адрес с разными параметрами...

    верно! :)

     
  • 2.21, Аноним (-), 01:55, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    Нужно больше песочниц.
     
  • 2.31, Аноним (-), 11:26, 07/08/2013 [^] [ответить]     [к модератору]  
  • +/
    Свежий 23-й лис кстати так и сделает - матюкнется что не шифрованный контент на ... весь текст скрыт [показать]
     
  • 1.41, Аноним (-), 12:54, 07/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Если есть "выполнение на стороне браузера клиента JavaScript-кода злоумышленника", то зачем всё остальное?
     
  • 1.42, Нанобот (ok), 12:55, 07/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >В качестве метода защиты на уровне web-приложений, предлагается случайным образом менять представление секретных идентификаторов при каждом запросе, например, через операцию XOR со случайной маской.

    костыли! причём кривые

     
  • 1.43, Аноним (-), 13:15, 07/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Подскажите плиз, если у апача отключить mod_deflate и mod_gzip, то эксплуатация будет невозможна????
     
     
  • 2.51, Аноним (-), 15:17, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    хотел сказать, "эксплуатация уязвимости будет невозможна?"
     
  • 1.54, Sylvia (ok), 18:06, 07/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    очень понравился лаконичный ответ Игоря Сысоева

    "gzip off" от SSL-enabled sites.
    --
    Igor Sysoev

     
     
  • 2.58, Аноним (-), 19:24, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    > "gzip off" от SSL-enabled sites.

    Только у SSL еще встроенное сжатие zlib есть. Это как раз соседняя атака. Сколько там еще костылей надо поставить, ась?

     
     
  • 3.61, Sylvia (ok), 07:25, 08/08/2013 [^] [ответить]    [к модератору]  
  • +/
    в nginx сжатие на уровне openssl давно отключено
     
  • 2.59, Аноним (-), 21:03, 07/08/2013 [^] [ответить]    [к модератору]  
  • +/
    >> "gzip off" от SSL-enabled sites.

    Бред сивой кобыли

    gzip относиться только к модулю (HTTP)

     
     
  • 3.62, Sylvia (ok), 07:27, 08/08/2013 [^] [ответить]    [к модератору]  
  • +/
    >>> "gzip off" от SSL-enabled sites.
    > Бред сивой кобыли
    > gzip относиться только к модулю (HTTP)

    директива работает на любом блоке server {} втч и в случае listen 443 ssl;
    и да, нам как раз и нужно отключить сжатие на уровне http

     
  • 1.63, Аноним (-), 14:42, 08/08/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    if ( $scheme = "https" ) { gzip off }
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor