CRIME - nowy atak na SSL/TLS

Dwaj specjaliści ds. bezpieczeństwa twierdzą, że opracowali nową metodę atakowania protokołu HTTPS, umożliwiającą m.in. przechwytywanie i deszyfrowanie plików cookie. Szczegółowy opis ataku CRIME ma zostać przedstawiony na konferencji bezpieczeństwa Ekoparty w Buenos Aires.

Witryny internetowe wykorzystują pliki cookie m.in. do zapamiętywania informacji o uwierzytelnieniu użytkownika - jeśli przestępca pozyska plik cookie aktywnej sesji, będzie w stanie uzyskać dostęp do konta użytkownika w danym serwisie.

Zastosowanie w komunikacji pomiędzy witryną a użytkownikiem protokołu HTTPS powinno skutecznie zabezpieczać przed taką ewentualnością - ponieważ w tej sytuacji wszystkie pliki cookie są szyfrowane. Ale Juliano Rizzo i Thai Duong twierdzą, że możliwe jest ich odszyfrowanie.

Zobacz również:

  • Microsoft zaatakowany przez Rosjan - celem kluczowe systemy

Stworzona przez nich metoda ataku - nazwana CRIME - wykorzystuje słabość w pewnej funkcji protokołów TLS (Transport Layer Security) oraz SSL (Secure Sockets Layer), wykorzystywanych w HTTPS. Specjaliści twierdzą, że na ich atak podatne są wszystkie wersje SSL i TSL i że wykorzystywana do tego funkcja jest używana we większości implementacji tych protokołów.

Szczegółowych informacji na temat CRIME na razie nie podano - zostaną przedstawione dopiero na rozpoczynającej się 19 września konferencji Ekoparty. Wiadomo jednak, że do przeprowadzenia ataku niezbędne jest umieszczenie w przeglądarce użytkownika tzw. agenta - kodu, który będzie odpowiedzialny za przechwycenie danych. Można to zrobić np. zwabiając internautę na stronę z odpowiednim eksploitem.

Niezbędne jest także przechwycenie ruchu HTTPS ofiary - to można zrobić np. gdy będzie ona korzystała z otwartej sieci WiFi, w sieci LAN (z wykorzystaniem techniki ARP spoofing) lub atakując jej router.

Z pierwszych testów przeprowadzonych przez Rizzo i Donga wynika, że na atak podatnych jest wiele popularnych serwisów i że CRIME na pewno działa w przeglądarkach Mozilla Firefox oraz Google Chrome (innych przeglądarek nie testowano, ale jest bardzo prawdopodobne, że ich również dotyczy problem - bo atakowana jest nie sama przeglądarka, lecz popularny protokół webowy). Mozilla i Google przygotowały już zresztą gotowe poprawki- choć na razie ich nie udostępniono.

Warto dodać, że podczas ubiegłorocznej edycji Ekoparty Rizzo i Duong zaprezentowali inną metodę przechwytywania zaszyfrowanych cookie z sesji HTTPS - nazwano ją BEAST (Browser Exploit Against SSL/TLS). Opisano również wtedy metodę zabezpieczenia się przed takim atakiem (polegała ona m.in. na wdrożeniu najnowszych wersji tych protokołów) - ale do dziś aż 72% z 184 tys. najpopularniejszych witryn wykorzystujących HTTPS wciąż jest podatnych na taki atak.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200