Исследователями безопасности обнаружена новая атака, нацеленная на SSL/TSL

Исследователями безопасности обнаружена новая атака, с помощью которой можно расшифровать защищенные HTTPS (Hypertext Transfer Protocol Secure) передаваемые данные.

Она работает через cookies сеансы – запоминание ранее зарегистрированных пользователей на сайтах. Если злоумышленник получает доступ к cookies пользователя, в то время как пользователь еще идентифицируется сайтом, он автоматически получает доступ и к его учетной записи на этом сайте.

Как известно, HTTPS должен защищать даннные от таких типов повреждений – так как с его помощью происходит шифрования cookies сессии во время транспортировки или хранения информации на браузере.

Тем не менее, новая атака – разработанная исследователями в области безопасности Джулиано Риццо и Таи Дуонгом, предоставляет возможность расшифровки данных.

Из заявления Риццо и Доунга стало известно о существовании плана как остановить атаку, который будет представлен на конференции по вопросам безопасности Екопати в Буэнос-Айресе, Аргентине.

Новая атака ориентируется на “слабые места сайтов” – в частности на слабости криптографического протокола TLS (Transport Layer Security) и более раннего SSL (Secure Sockets Layer) протокола – с помощью которых функционирует HTTPS.

От Риццо также поступило сообщение, что все функции SSL и TLS, которые раньше подвергались повреждениям, использовались в SSL/TLS развертывании. Но, исследователь отказался сообщить особенности уязвимостей до презентации атаки на Екопати.

Для успешного совершения атаки CRIME, ее код – под названием агент, сначала надо загрузить в браузер пользователя, на которого будут нанесены повреждения. Это происходит, если пользователь посещает мошеннический сайт, или, злоумышленник может нанести повреждения с помощью получения доступа к сети пользователя, введя код атаки в существующие HTTP соединение.

Для нанесения атаки CRIME не нужно задействовать модули браузера; раньше программа JavaScript была нужна всего лишь для ускорения процесса повреждений – атака также может быть реализована и без нее – утверждает Риццо.

Злоумышленник, перед совершением атаки, как правило, исследует трафик пользователя где установлено HTTPS. Такой опасности подвергаются открытые беспроводные сети или локальные сети (LANs), то есть, через использования вредителем поддоменов ARP, а также за счет получения доступа к домашнему роутеру с помощью использования пароля по умолчанию.

Для осуществления атаки на сервер пользователя, сайтом должна обеспечиваться поддержка функций SSL/TLS, добавляет Риццо. Также, он подтвердил, что даже установка HTTPS на некоторых популярных сайтах делает их уязвимыми.

Атака CRIME была успешно протестирована только на Mozilla Firefox и Google Chrome – тем не менее и другие браузеры могут подвергаться повреждениям. Как следствие, Mozilla и Google уже приготовили патчы, которые будут блокировать атаку, но они еще не введены в действие.

В прошлом году на Екопати, Риццо и Дуонг представили атаку, известную под названием BEAST (Browser Exploit Against SSL/TLS), которая также способна расшифровать HTTPS cookies сеансы. С помощью этой атаки были осуществлены нападения на SSL 3.0 и TLS 1.0 – и как позже стало известно, для этого были использованы специальные методы шифрования. В результате чего, было выпущено защитные обновления к TLS 1.1 или 1.2 последней версии протокола TLS, которые смягчали действие атаки – хотя это не распространялось на  более старые версии, созданы на основе методов шифрования RC4.

Тем не менее, такие обновления не защищают от атаки CRIME, потому, что в дополнение к использованию функции, которая присутствует во всех версиях SSL/TLS, эта атака не зависит от конкретного шифра, подытожил Риццо.

По данным SSL Pulse, проекта который контролирует работу SSL/TLS в сети, 72 процента от 184 000 самых популярных сайтов защищенных HTTPS – по прежнему являются уязвимыми для атаки BEAST.

Комментарии запрещены.