PORUŠENÍ - BREACH - Wikipedia

Pro další použití viz Porušení (disambiguation).
Oficiální logo

PORUŠENÍ (A backronym: Průzkumník a exfiltrace pomocí adaptivní komprese hypertextu) je bezpečnostní exploit proti HTTPS při použití HTTP komprese. PORUŠENÍ je postaveno na základě Zločin zabezpečení CRIME. PORUŠENÍ bylo oznámeno v srpnu 2013 Černý klobouk konference bezpečnostních vědců Angela Prada, Neala Harrise a Yoela Glucka. Tato myšlenka byla diskutována v komunitě před oznámením.[1]

Detaily

Zatímco útok CRIME byl prezentován jako obecný útok, který mohl účinně fungovat proti velkému počtu protokolů, zneužije pouze proti SPDY požadovat kompresi a TLS komprese byla prokázána a do značné míry zmírněna v prohlížečích a serverech. Zneužití CRIME proti kompresi HTTP nebylo vůbec zmírněno, přestože autoři CRIME varovali, že tato chyba zabezpečení může být ještě rozšířenější než kombinace komprese SPDY a TLS.

BREACH je instancí útoku CRIME proti kompresi HTTP - použití gzip nebo DEFLATE algoritmy komprese dat pomocí možnosti kódování obsahu v rámci HTTP mnoha webovými prohlížeči a servery.[2] Vzhledem k tomuto komprimačnímu věštci se zbytek útoku BREACH řídí stejnými obecnými liniemi jako exploze CRIME provedením počátečního naslepo vyhledávání hrubou silou uhodnout pár bytů, následovaných rozděl a panuj vyhledávání rozbalte správný odhad na libovolně velké množství obsahu.

Zmírnění

BREACH využívá kompresi v základním protokolu HTTP. Vypnutí komprese TLS proto nemá vliv na BREACH, který může stále provádět a útok vybraného textu proti užitečnému obsahu HTTP.[3]

Výsledkem je, že klienti a servery jsou buď nuceni úplně deaktivovat kompresi HTTP (čímž se sníží výkon), nebo přijmout alternativní řešení, která se pokusí zmařit BREACH v jednotlivých scénářích útoku, například při použití padělání požadavku napříč weby (CSRF) ochrana.[4]

Další navrhovaný přístup je zakázat kompresi HTTP, kdykoli záhlaví referrer označuje požadavek mezi weby, nebo když záhlaví není k dispozici.[5][6] Tento přístup umožňuje efektivní zmírnění útoku bez ztráty funkčnosti, pouze s postihem výkonu u ovlivněných požadavků.

Dalším přístupem je přidání výplně na úrovni TLS, HTTP záhlaví nebo užitečné zátěže. Kolem 2013-2014 došlo k IETF návrh návrhu rozšíření TLS pro výplně skrývající délku[7] které by teoreticky mohly být použity jako zmírnění tohoto útoku.[5] Umožňuje skrýt skutečnou délku užitečného zatížení TLS vložením polstrování, aby se zaokrouhlovalo na pevnou sadu délek nebo náhodně určovalo vnější délku, čímž se snižuje pravděpodobnost detekce malých změn kompresního poměru, který je základem za BREACH útok. Platnost tohoto návrhu však mezitím vypršela bez dalších opatření.

Reference

  1. ^ „Je komprese HTTP bezpečná?“. Výměna zásobníku zabezpečení informací. Archivováno od originálu 12. 4. 2018. Citováno 2018-04-11.
  2. ^ Goodin, Dan (1. srpna 2013). „Pryč za 30 sekund: Nový útok trhá tajemství ze stránek chráněných HTTPS“. Ars Technica.
  3. ^ Angelo Prado, Neal Harris a Yoel Gluck. „SSL, pryč za 30 sekund: PORUŠENÍ za ZLOČINEM“ (PDF). Citováno 2013-09-07.
  4. ^ Omar Santos (6. srpna 2013). „PORUŠENÍ, ZLOČIN a černý klobouk“. Cisco.
  5. ^ A b Ivan Ristic (14. října 2013). „Obrana proti PORUŠENÍ útoku“. Qualys.com. Citováno 2013-11-25.
  6. ^ manu (14. října 2013). „PORUŠENÍ PORUŠENÍ“. Komunita Qualys. Citováno 2013-11-25.
  7. ^ A. Pironti; et al. (2013-09-11). „Výplň pro skrytí délky pro protokol zabezpečení transportní vrstvy“. Síťová pracovní skupina IETF. Citováno 2017-10-18.

externí odkazy