Метод атаки CRIME показал потенциальную уязвимость SSL-протокола

ПредыдущаяСледующая
1174
eScan Logo

Эксперты eScan рассказали, как защитить свой компьютер от новой уязвимости протоколов SSL, TLS и SPDY, обеспечивающих защиту соединений и передаваемых данных в Интернете.

Очередную уязвимость протоколов SSL, TLS и SPDY продемонстрировали недавно исследователи Джулиано Риззо и Тай Дуонг на конференции Ekoparty в Буэнос-Айресе. Атака с использованием новой бреши получила название CRIME (Compression Ratio Info-leak Made Easy).

Во время атаки CRIME эксплуатируются алгоритмы сжатия данных. Рассмотрим, как это происходит, на примере протокола SSL: Получив сообщение для отправки, SSL разбивает его на блоки, при необходимости сжимает, вычисляет код аутентичности MAC, шифрует, добавляет заголовок и передает. Сжатие является необязательной, но часто используемой функцией SSL. Атака CRIME основана на изменении размера сжатых сообщений, что происходит, например, при добавлении аутентификационных данных куки. Тот факт, что сжатие происходит до шифрования, а информация не подвергается дополнительной рандомизации, позволяет злоумышленнику расшифровать сообщение и, если украдены куки, произвести несанкционированную авторизацию в системе.

Для проведения атаки CRIME на компьютер жертвы необходимо загрузить вредоносный код. Это можно сделать, к примеру, перенаправив пользователя на инфицированную веб-страницу.

Пример сжатого POST-запроса, размер которого может быть изменен при добавлении данных куки

Ранее те же исследователи показали возможность успешного взлома протоколов SSL и TLS с помощью уязвимости блочных шифров (атака Browser Exploit Against SSL/TLS, BEAST).

«Атака CRIME имеет потенциал стать популярной среди хакеров благодаря своей эффективности и относительной простоте применения, - комментируют эксперты eScan в России и странах СНГ. – Вероятно, скоро мы увидим появление не лабораторных, а реальных хакерских инструментов, автоматизирующих такого рода атаки».

Значительный интерес к защищённости SSL-соединений вызван, в частности, развитием облачных технологий. Все большее число компаний и домашних пользователей используют облачные сервисы для хранения и обработки важной информации, а подключение к таким службам в большинстве случаев осуществляется через веб-браузер с использованием технологии SSL. Уязвимость в системе защиты потенциально дает злоумышленникам практически неограниченные возможности для хищения важной информации.

«Для вскрытия зашифрованных сообщений во время атаки CRIME хакеру нужно иметь возможности прослушивать сетевой трафик и принуждать браузер жертвы отправлять запросы на определенный сервер. Это вполне осуществимо, учитывая высокий уровень современных хакерских технологий, - добавляют эксперты eScan. - Однако также требуется, чтобы и сервер, и клиентская машина поддерживали опцию сжатия данных до шифрования. Поэтому мы рекомендуем использовать последние версии браузеров, в которых разработчики уже отключили эту опцию, а на серверной стороне – отключить её самостоятельно».

Ниже приведён список актуальных версий браузеров с отключенной функцией сжатия SSL:

  • Google Chrome 21.0.1180.89;
  • Firefox 15.0.1;
  • Opera 12.01;
  • Safari 5.1.7 для Windows;
  • Safari 5.1.6 & 6 для OSX Lion;
  • Все версии Internet Explorer.

Администраторы могут проверить веб-серверы на наличие функции SSL-сжатия на специальном сайте.

6 октября 2012 Г.

12:05

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

В Денвере хотят построить сеть наземных тоннелей, схожих по своей идее с теми, что строит The Boring Company: В Денвере построят наземный аналог тоннелей The Boring Company8

Компания Wal-Mart уже заказала 15 грузовиков Tesla Semi: Компания Wal-Mart серьёзно заинтересовалась электрическими грузовиками Tesla Semi13

Производство гибких панелей AMOLED опережает спрос: Популярность экранов 18:9 сказалось на спросе на гибкие панели AMOLED1

Простой патч для одной из современных игр позволил повысить производительность Radeon RX Vega 64 на 22%: Radeon RX Vega 64 после патча для Wolfenstein II: The New Colossus обгоняет GTX 1080 Ti13

Tesla выпустила свой портативный аккумулятор для смартфонов: Tesla Powerbank стоит 45 долларов14

E Ink отметила рост всех основных финансовых показателей: E Ink показала отличные финансовые результаты

Компания Broadcom завершила покупку компании Brocade Communications Systems: Новый владелец планирует разделить Brocade

Начало продаж Apple HomePod отложено: Умная АС Apple появится на рынке в 2018 году61

Анонсирован выпуск карты для работы с видео Blackmagic DeckLink 8K Pro: Карта Blackmagic DeckLink 8K Pro предназначена для захвата и вывода видео в разрешении до 8K DCI5

Samsung SM-W2018 может стать первым смартфоном с камерой, объектив которой имеет диафрагму F/1,5: Смартфон будет представлен в Китае 1 декабря этого года19

Представлена клавиатура Zagg Slim Book для iPad Pro с подсветкой клавиш и местом для Apple Pencil: Цена устройства составляет 120 долларов2

OnePlus 5T получит обновление Android 8.O Oreo в начале 2018 года: Разработчики решили изначально оснастить его Android 7.1.1 Nougat5

В понедельник Toshiba примет решение о привлечении зарубежных инвестиций в размере 5 млрд долларов: Эти средства должны помочь Toshiba удержаться на бирже1

По прогнозу DSCC, рынок материалов OLED в ближайшие годы будет расти на 20% в год: К 2022 году он достигнет 2,25 млрд долларов

Опубликован эскиз безрамочного смартфона 360 Mobiles: Компания будет придерживаться устоявшейся традиции, предлагая пользователям смартфоны с впечатляющими характеристиками по привлекательным ценам3

997
1318

iXBT TV

  • Обзор аккумуляторной дрели-шуруповерта Bosch GSR 12V-15 FC Professional

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

  • Обзор изогнутого 34-дюймового IPS-монитора LG 34UC99 с соотношением сторон 21:9 и белым корпусом

  • Обзор робота-пылесоса Philips SmartPro Active (FC8822/01) с широкой насадкой TriActive XL

1212

Календарь

октябрь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать