forum.opennet.ru

Составление сообщения

Исходное сообщение

"Представлена техника перехвата содержимого Cookie для сжатых..."
Отправлено opennews, 17-Сен-12 22:35

Джулиано Риццо (Juliano Rizzo) и Тхай Дыонг (Thai Duong), известные исследователи компьютерной безопасности, создавшие в своё время технику атаки BEAST (https://www.opennet.ru/opennews/art.shtml?num=31797) против SSL/TLS, разработали (http://isecpartners.com/blog/2012/9/14/details-on-the-crime-...) новый способ перехвата на промежуточном шлюзе содержимого сессионных Cookie, передаваемых внутри зашифрованного соединения. Новая атака, получившая название CRIME (Compression Ratio Info-leak Made Easy), эффективна для каналов связи на основе SSL/TLS и SPDY, действует только при использовании сжатия передаваемых данных и требует выполнения JavaScript-кода злоумышленника в браузере клиента (в случае man-in-middle атак осуществить подстановку такого кода не составляет труда).
По своей сути CRIME является продолжением развития идей, воплощённых (https://www.opennet.ru/opennews/art.shtml?num=31797) в методе атаки BEAST. Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить Cookie, в рамках общего шифрованного канала связи. Используя тот факт, что данные сжимаются на этапе до шифрования и не подвергаются дополнительной рандомизации, новая атака позволяет обойти средства защиты, добавленные производителями браузеров для блокирования атаки BEAST.

В качестве демонстрации, на транзитном хосте, через который был перенаправлен трафик клиента, был организован перехват сессий для защищённых каналов связи с сервисами Gmail, GitHub, Twitter, Dropbox и Yahoo Mail. Общее число серверов, поддерживающих сжатие SSL/TLS оценивается (https://community.qualys.com/blogs/securitylabs/2012/09/14/c...) в 42%. По заявлению авторов CRIME, они заранее связались с производителями браузеров и в последние версии Chrome и Firefox (только данные браузеры поддерживают протокол SPDY) уже включены надлежащие патчи, позволяющие защититься от новой техники атаки. Что касается браузеров поддерживающих сжатие SSL/TLS, то в последних выпусках Chrome, Firefox, Opera и Safari сжатие трафика для SSL/TLS было по умолчанию отключено (Internet Explorer подобное сжатие не поддерживается вообще). На стороне сервера защититься от атаки можно отключив сжатие SSL/TLS, например, для Apache 2.4 можно указать в настройках "SSLCompression off". Концептуальный прототип приложения для осуществления атаки можно найти здесь (https://gist.github.com/3698401).
<center><iframe width="480" height="360" src="http://www.youtube.com/embed/gGPhHYyg9r4?rel=0" frameborder="0" allowfullscreen></iframe></center>

URL: http://isecpartners.com/blog/2012/9/14/details-on-the-crime-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=34869

Исходное сообщение
"Представлена техника перехвата содержимого Cookie для сжатых..." Отправлено opennews, 17-Сен-12 22:35
Джулиано Риццо (Juliano Rizzo) и Тхай Дыонг (Thai Duong), известные исследователи компьютерной безопасности, создавшие в своё время технику атаки BEAST (https://www.opennet.ru/opennews/art.shtml?num=31797) против SSL/TLS, разработали (http://isecpartners.com/blog/2012/9/14/details-on-the-crime-...) новый способ перехвата на промежуточном шлюзе содержимого сессионных Cookie, передаваемых внутри зашифрованного соединения. Новая атака, получившая название CRIME (Compression Ratio Info-leak Made Easy), эффективна для каналов связи на основе SSL/TLS и SPDY, действует только при использовании сжатия передаваемых данных и требует выполнения JavaScript-кода злоумышленника в браузере клиента (в случае man-in-middle атак осуществить подстановку такого кода не составляет труда). По своей сути CRIME является продолжением развития идей, воплощённых (https://www.opennet.ru/opennews/art.shtml?num=31797) в методе атаки BEAST. Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить Cookie, в рамках общего шифрованного канала связи. Используя тот факт, что данные сжимаются на этапе до шифрования и не подвергаются дополнительной рандомизации, новая атака позволяет обойти средства защиты, добавленные производителями браузеров для блокирования атаки BEAST. В качестве демонстрации, на транзитном хосте, через который был перенаправлен трафик клиента, был организован перехват сессий для защищённых каналов связи с сервисами Gmail, GitHub, Twitter, Dropbox и Yahoo Mail. Общее число серверов, поддерживающих сжатие SSL/TLS оценивается (https://community.qualys.com/blogs/securitylabs/2012/09/14/c...) в 42%. По заявлению авторов CRIME, они заранее связались с производителями браузеров и в последние версии Chrome и Firefox (только данные браузеры поддерживают протокол SPDY) уже включены надлежащие патчи, позволяющие защититься от новой техники атаки. Что касается браузеров поддерживающих сжатие SSL/TLS, то в последних выпусках Chrome, Firefox, Opera и Safari сжатие трафика для SSL/TLS было по умолчанию отключено (Internet Explorer подобное сжатие не поддерживается вообще). На стороне сервера защититься от атаки можно отключив сжатие SSL/TLS, например, для Apache 2.4 можно указать в настройках "SSLCompression off". Концептуальный прототип приложения для осуществления атаки можно найти здесь (https://gist.github.com/3698401). <center><iframe width="480" height="360" src="http://www.youtube.com/embed/gGPhHYyg9r4?rel=0" frameborder="0" allowfullscreen></iframe></center> URL: http://isecpartners.com/blog/2012/9/14/details-on-the-crime-... Новость: https://www.opennet.ru/opennews/art.shtml?num=34869

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Джулиано Риццо (Juliano Rizzo) и Тхай Дыонг (Thai Duong), известные исследователи компьютерной 
> безопасности, создавшие в своё время технику атаки BEAST (https://www.opennet.ru/opennews/art.shtml?num=31797) 
> против SSL/TLS, разработали (http://isecpartners.com/blog/2012/9/14/details-on-the-crime-attack.html) 
> новый способ перехвата на промежуточном шлюзе содержимого сессионных Cookie, передаваемых 
> внутри зашифрованного соединения. Новая атака, получившая название CRIME (Compression 
> Ratio Info-leak Made Easy), эффективна для каналов связи на основе SSL/TLS 
> и SPDY, действует только при использовании сжатия передаваемых данных и требует 
> выполнения JavaScript-кода злоумышленника в браузере клиента (в случае man-in-middle 
> атак осуществить подстановку такого кода не составляет труда).

> По своей сути CRIME является продолжением развития идей, воплощённых (https://www.opennet.ru/opennews/art.shtml?num=31797) 
> в методе атаки BEAST. Атака строится на возможности выделения в отслеживаемом 
> зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом 
> на сайт, для которого требуется перехватить Cookie, в рамках общего шифрованного 
> канала связи. Используя тот факт, что данные сжимаются на этапе до 
> шифрования и не подвергаются дополнительной рандомизации, новая атака позволяет обойти 
> средства защиты, добавленные производителями браузеров для блокирования атаки BEAST.

> В качестве демонстрации, на транзитном хосте, через который был перенаправлен трафик клиента, 
> был организован перехват сессий для защищённых каналов связи с сервисами Gmail, 
> GitHub, Twitter, Dropbox и Yahoo Mail.  Общее число серверов, поддерживающих 
> сжатие SSL/TLS оценивается (https://community.qualys.com/blogs/securitylabs/2012/09/14/crime-information-leakage-attack-against-ssltls) 
> в 42%. По заявлению авторов CRIME, они заранее связались с производителями 
> браузеров и в последние версии Chrome и Firefox (только данные браузеры 
> поддерживают протокол SPDY) уже включены надлежащие патчи, позволяющие защититься от новой 
> техники атаки. Что касается  браузеров поддерживающих сжатие SSL/TLS, то в 
> последних выпусках Chrome, Firefox, Opera и  Safari сжатие трафика для 
> SSL/TLS было по умолчанию отключено (Internet Explorer подобное сжатие не поддерживается 
> вообще). На стороне сервера защититься от атаки можно отключив сжатие SSL/TLS, 
> например, для Apache 2.4 можно указать в настройках "SSLCompression off". Концептуальный 
> прототип приложения для осуществления атаки можно найти здесь (https://gist.github.com/3698401).

> <center><iframe width="480" height="360" src="http://www.youtube.com/embed/gGPhHYyg9r4?rel=0" 
> frameborder="0" allowfullscreen></iframe></center>

> URL: http://isecpartners.com/blog/2012/9/14/details-on-the-crime-attack.html 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=34869

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру