НАРУШЕНИЕ

Официальный логотип

BREACH ( обратный псевдоним : Browser Reconnaissance and Exlifting via Adaptive Compression of Hypertext ) — это уязвимость безопасности против HTTPS при использовании HTTP-сжатия . BREACH построен на основе эксплойта безопасности CRIME . О BREACH было объявлено на конференции Black Hat в августе 2013 года исследователями безопасности Анджело Прадо, Нилом Харрисом и Йоэлем Глюком. Идея обсуждалась в сообществе еще до объявления. ^[1]

Подробности

Хотя атака CRIME была представлена как общая атака, которая может эффективно работать против большого количества протоколов, были продемонстрированы только эксплойты против сжатия запросов SPDY и сжатия TLS, которые в значительной степени были смягчены в браузерах и серверах. Эксплойты CRIME против сжатия HTTP вообще не были устранены, хотя авторы CRIME предупреждают, что эта уязвимость может быть даже более распространенной, чем сжатие SPDY и TLS вместе взятые.

BREACH — это пример CRIME-атаки на сжатие HTTP — использование алгоритмов сжатия данных gzip или DEFLATE через опцию кодирования контента в HTTP многими веб-браузерами и серверами. ^[2] Учитывая этот оракул сжатия, остальная часть атаки BREACH следует тем же общим направлениям, что и эксплойт CRIME, выполняя первоначальный слепой перебор , чтобы угадать несколько байтов, за которым следует поиск по принципу «разделяй и властвуй», чтобы расширить правильное предположение до произвольно большое количество контента.

смягчение последствий

BREACH использует сжатие базового протокола HTTP. Таким образом, отключение сжатия TLS не имеет никакого значения для BREACH, который все равно может выполнять атаку с использованием выбранного открытого текста против полезных данных HTTP. ^[3]

В результате клиенты и серверы вынуждены либо полностью отключать HTTP-сжатие (таким образом снижая производительность), либо применять обходные пути, чтобы попытаться предотвратить НАРУШЕНИЕ в отдельных сценариях атак, например, используя от подделки межсайтовых запросов (CSRF). защиту ^[4]

Другой предлагаемый подход — отключить HTTP-сжатие всякий раз, когда заголовок реферера указывает на межсайтовый запрос или когда заголовок отсутствует. ^[5]^[6] Этот подход позволяет эффективно смягчить атаку без потери функциональности, а лишь приводит к снижению производительности затронутых запросов.

Другой подход — добавить дополнения на уровне TLS, HTTP-заголовка или полезной нагрузки. представил Примерно в 2013–2014 годах IETF проект предложения по расширению TLS для заполнения, скрывающего длину. ^[7] теоретически это можно использовать в качестве средства защиты от этой атаки. ^[5] Это позволяет замаскировать фактическую длину полезной нагрузки TLS путем вставки заполнения для округления ее до фиксированного набора длин или рандомизации внешней длины, тем самым уменьшая вероятность обнаружения небольших изменений в степени сжатия, которая является основой для атаки BREACH. Однако с тех пор срок действия этого проекта истек без каких-либо дальнейших действий.

Очень эффективным средством смягчения последствий является HTB (Heal-the-BREACH). ^[8] который добавляет к сжатым данным заполнение случайного размера, обеспечивая некоторый размер выходного содержимого. Эта случайность задерживает BREACH от угадывания правильных символов в секретном токене в 500 (максимум 10 байт) до 500 000 (максимум 100 байт). HTB защищает все веб-сайты и страницы на сервере с минимальной загрузкой ЦП и минимальным увеличением пропускной способности.

Ссылки

^ «Безопасно ли HTTP-сжатие?» . Обмен стеками информационной безопасности . Архивировано из оригинала 12 апреля 2018 г. Проверено 11 апреля 2018 г.
^ Гудин, Дэн (1 августа 2013 г.). «Угнать за 30 секунд: новая атака выхватывает секреты из страниц, защищенных HTTPS» . Арс Техника.
^ Анджело Прадо, Нил Харрис и Йоэль Глюк. «SSL исчез за 30 секунд: НАРУШЕНИЕ ЗА ПРЕСТУПНОСТЬ» (PDF) . Проверено 7 сентября 2013 г.
^ Омар Сантос (6 августа 2013 г.). «НАРУШЕНИЕ, ПРЕСТУПЛЕНИЕ и Чёрная шляпа» . Циско.
^ Jump up to: ^а ^б Иван Ристич (14 октября 2013 г.). «Защита от атаки BREACH» . Qualys.com . Проверено 25 ноября 2013 г.
^ ману (14 октября 2013 г.). «Устранение нарушений» . Сообщество Qualys . Проверено 25 ноября 2013 г.
^ А. Пиронти; и др. (11 сентября 2013 г.). «Заполнение, скрывающее длину для протокола безопасности транспортного уровня» . Рабочая группа сети IETF . Проверено 18 октября 2017 г.
^ Дворцы, Р.; Фарина Фернандес-Портильо, А.; Санчес-Убеда, EF; Гарсия-де-Суньига, П. (апрель 2022 г.). «HTB: очень эффективный метод защиты веб-серверов от атак BREACH на HTTPS » Доступ IEEE . 10 : 40381–40390. Бибкод : 2022IEEEA..1040381P . дои : 10.1109/ACCESS.2022.3166175 . S2CID 248112008 .

Внешние ссылки

Официальный сайт BREACH
Инструмент, запускающий атаку BREACH, продемонстрированный на BlackHat 2013.
HEIST — подобная атака на тело ответа, основанная на сжатии, продемонстрированная на BlackHat 2016.

[1] «Безопасно ли HTTP-сжатие?» . Обмен стеками информационной безопасности . Архивировано из оригинала 12 апреля 2018 г. Проверено 11 апреля 2018 г.

[2] Гудин, Дэн (1 августа 2013 г.). «Угнать за 30 секунд: новая атака выхватывает секреты из страниц, защищенных HTTPS» . Арс Техника.

[3] Анджело Прадо, Нил Харрис и Йоэль Глюк. «SSL исчез за 30 секунд: НАРУШЕНИЕ ЗА ПРЕСТУПНОСТЬ» (PDF) . Проверено 7 сентября 2013 г.

[4] Омар Сантос (6 августа 2013 г.). «НАРУШЕНИЕ, ПРЕСТУПЛЕНИЕ и Чёрная шляпа» . Циско.

[ristic1-5] Jump up to: ^а ^б Иван Ристич (14 октября 2013 г.). «Защита от атаки BREACH» . Qualys.com . Проверено 25 ноября 2013 г.

[6] ману (14 октября 2013 г.). «Устранение нарушений» . Сообщество Qualys . Проверено 25 ноября 2013 г.

[7] А. Пиронти; и др. (11 сентября 2013 г.). «Заполнение, скрывающее длину для протокола безопасности транспортного уровня» . Рабочая группа сети IETF . Проверено 18 октября 2017 г.

[HTB-8] Дворцы, Р.; Фарина Фернандес-Портильо, А.; Санчес-Убеда, EF; Гарсия-де-Суньига, П. (апрель 2022 г.). «HTB: очень эффективный метод защиты веб-серверов от атак BREACH на HTTPS » Доступ IEEE . 10 : 40381–40390. Бибкод : 2022IEEEA..1040381P . дои : 10.1109/ACCESS.2022.3166175 . S2CID 248112008 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]