Jump to content

ПРЕСТУПЛЕНИЕ

Чтобы узнать о преступной деятельности, см. Преступность . Чтобы узнать о других значениях, см. Преступление (значения) .

ПРЕСТУПЛЕНИЕ ( Утечка информации о степени сжатия стала проще ) — это уязвимость безопасности в протоколах HTTPS и SPDY , использующих сжатие, которая может привести к утечке содержимого секретных веб-файлов cookie . [1] При использовании для восстановления содержимого секретных файлов cookie аутентификации злоумышленник может перехватить сеанс в веб-сеансе с аутентификацией, что позволяет запускать дальнейшие атаки. ПРЕСТУПЛЕНИЮ присвоено CVE - 2012-4929 . [2]

Подробности

[ редактировать ]

Эксплуатируемая уязвимость представляет собой комбинацию атаки с использованием выбранного открытого текста и непреднамеренной утечки информации посредством сжатия данных, аналогичной описанной в 2002 году криптографом Джоном Келси . [3] Он основан на том, что злоумышленник может наблюдать за размером зашифрованного текста, отправленного браузером , и в то же время побуждает браузер выполнить несколько тщательно продуманных веб-соединений с целевым сайтом. Затем злоумышленник наблюдает за изменением размера сжатой полезной нагрузки запроса, которая содержит как секретный файл cookie, отправляемый браузером только на целевой сайт, так и переменное содержимое, созданное злоумышленником, поскольку содержимое переменной изменяется. Когда размер сжатого контента уменьшается, можно сделать вывод, что вполне вероятно, что некоторая часть внедренного контента соответствует некоторой части источника, который включает в себя секретный контент, который желает обнаружить злоумышленник. Затем можно использовать методы «разделяй и властвуй», чтобы выявить истинное секретное содержимое за относительно небольшое количество попыток зондирования, кратное количеству секретных байтов, которые необходимо восстановить. [1] [4]

Гипотезу ПРЕСТУПНОГО эксплойта предложил Адам Лэнгли. [5] и впервые продемонстрировано исследователями безопасности Джулиано Риццо и Тай Дуонгом, которые также создали эксплойт BEAST . [6] Эксплойт должен был быть полностью раскрыт на конференции по безопасности ekoparty в 2012 году . [7] Риццо и Дуонг представили CRIME как общую атаку, которая эффективно работает против большого количества протоколов, включая, помимо прочего, SPDY (который всегда сжимает заголовки запросов), TLS (который может сжимать записи) и HTTP (который может сжимать ответы). [2]

Профилактика

[ редактировать ]

ПРЕСТУПЛЕНИЕ можно победить, предотвратив использование сжатия либо на стороне клиента, либо браузер отключив сжатие запросов SPDY, либо веб-сайт запретив использование сжатия данных в таких транзакциях, используя функции согласования протокола протокола TLS. Как подробно описано в протоколе Transport Layer Security (TLS) версии 1.2 , [8] клиент отправляет список алгоритмов сжатия в своем сообщении ClientHello, а сервер выбирает один из них и отправляет его обратно в своем сообщении ServerHello. Сервер может выбрать только метод сжатия, предложенный клиентом, поэтому, если клиент предлагает только «нет» (без сжатия), данные не будут сжаты. Аналогичным образом, поскольку всем клиентам TLS должно быть разрешено отсутствие сжатия, сервер всегда может отказаться от использования сжатия. [ нужна ссылка ]

смягчение последствий

[ редактировать ]

По состоянию на сентябрь 2012 г. , эксплойт CRIME против сжатия на уровне SPDY и TLS был описан как смягченный в последних версиях веб-браузеров Chrome и Firefox . [6] Некоторые веб-сайты применили контрмеры на своей стороне. [9] Веб -сервер nginx не был уязвим для CRIME начиная с версии 1.0.9/1.1.6 (октябрь/ноябрь 2011 г.) с использованием OpenSSL 1.0.0+ и с версии 1.2.2/1.3.2 (июнь/июль 2012 г.) с использованием всех версий OpenSSL. [10]

Обратите внимание, что по состоянию на декабрь 2013 года эксплойт CRIME против сжатия HTTP вообще не был устранен. [ нужна ссылка ] Риццо и Дуонг предупредили, что эта уязвимость может быть даже более распространенной, чем сжатие SPDY и TLS вместе взятые. [ нужна ссылка ]

НАРУШЕНИЕ

[ редактировать ]
Основная статья: BREACH (эксплойт безопасности)

На конференции Black Hat в августе 2013 года исследователи Глюк, Харрис и Прадо анонсировали вариант эксплойта CRIME против сжатия HTTP под названием BREACH (сокращение от «Разведка и эксфильтрация браузера посредством адаптивного сжатия гипертекста»). Он раскрывает секреты HTTPS, атакуя встроенное сжатие данных HTTP, используемое веб-серверами для уменьшения сетевого трафика. [11]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б Фишер, Деннис (13 сентября 2012 г.). «ПРЕСТУПНАЯ Атака использует степень сжатия запросов TLS в качестве побочного канала для перехвата защищенных сеансов» . ThreatPost . Проверено 13 сентября 2012 г.
  2. ^ Jump up to: а б «CVE-2012-4929» . Корпорация Митра .
  3. ^ Келси, Дж. (2002). «Сжатие и утечка информации открытого текста». Быстрое программное шифрование . Конспекты лекций по информатике. Том. 2365. стр. 263–276. дои : 10.1007/3-540-45661-9_21 . ISBN  978-3-540-44009-3 .
  4. ^ «ПРЕСТУПЛЕНИЕ – Как победить преемника ЗВЕРЯ?» . StackExchange.com. 8 сентября 2012 года . Проверено 13 сентября 2012 г.
  5. ^ Лэнгли, Адам (16 августа 2011 г.). «Re: Контексты сжатия и соображения конфиденциальности» . spdy-dev (список рассылки).
  6. ^ Jump up to: а б Гудин, Дэн (13 сентября 2012 г.). «Взлом в фундаменте доверия в Интернете позволяет перехватывать сеансы HTTPS» . Арс Техника . Проверено 13 сентября 2012 г.
  7. ^ Риццо, Джулиано; Дуонг, Тайланд. «ПРЕСТУПЛЕНИЕ» . Экопартия . Проверено 21 сентября 2012 г. - через Документы Google.
  8. ^ Диркс, Т.; Ресорла, Э. (август 2008 г.). «Протокол Transport Layer Security (TLS) версии 1.2 — Приложение A.4.1 (Hello messages)» . IETF . дои : 10.17487/RFC5246 . Проверено 10 июля 2013 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  9. ^ Лейден, Джон (14 сентября 2012 г.). «Идеальное ПРЕСТУПЛЕНИЕ? Объяснение новой атаки по захвату сети HTTPS» . Регистр . Проверено 16 сентября 2012 г.
  10. ^ Сысоев Игорь (26 сентября 2012 г.). «Список рассылки Nginx: криминальная атака tls» . nginx.org . Проверено 11 июля 2013 г.
  11. ^ Гудин, Дэн (1 августа 2013 г.). «Угнать за 30 секунд: новая атака выхватывает секреты из страниц, защищенных HTTPS» .
Retrieved from "https://en.wikipedia.org/w/index.php?title=CRIME&oldid=1179948471"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: e596fd1f621587b3e242481f4433e152__1697195160
URL1:https://arc.ask3.ru/arc/aa/e5/52/e596fd1f621587b3e242481f4433e152.html
Заголовок, (Title) документа по адресу, URL1:
CRIME - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)