Атаки BREACH несколько утратили свою актуальность с лета 2013 года, однако исследователи нашли новые способы эксплуатации той же бреши с целью расшифровки трафика, в том числе сообщений Gmail и чат-сессий Facebook.

В конце прошлой недели на сингапурской конференции Black Hat Asia был представлен фреймворк Rupture, предназначенный для проведения атак BREACH нового образца. Его авторами являются Димитрис Каракостас из Афинского национального технического университета и Дионисис Зиндрос из Афинского университета им. Каподистрия. Они продемонстрировали участникам Black Hat, как посредством BREACH украсть приватные сообщения, отправленные через Gmail и Facebook.

Откровение университетских исследователей не может не встревожить: все уже поверили, что атаки BREACH, как и их предшественники CRIME, уже не страшны, так как очень многие деактивировали сжатие данных на уровне TLS, а крупные провайдеры, такие как Facebook, приняли собственные ограничительные меры.

«Основные аспекты BREACH пока не изжиты, и популярные сайты, в том числе Facebook, продолжают поддерживать уязвимые оконечные устройства, — пишут исследователи в докладе «Practical New Developments on BREACH» («Практическое усовершенствование BREACH»). — Наша работа показала, что концепцию BREACH можно развить для проведения атак на веб-приложения, и на деле подтвердила, что TLS-трафик по-прежнему уязвим… Мы пришли к выводу, что все существующие механизмы защиты неудовлетворительны и могут быть обойдены либо непригодны для практической реализации».

По словам авторов отчета, украсть закрытые данные из веб-приложений им удалось благодаря повсеместному использованию шумных блочных шифров вместо потоковых. «Мы применили статистические методы для обхода шума, привнесенного блочным шифром или произвольными данными, включенными в открытый текст ответа, — поясняют исследователи. — Это позволило красть секретные ключи, которые ранее не рассматривались как цели BREACH, при условии, что атакуемый сайт обеспечивает конечную точку, пригодную для атаки».

Фреймворк Rupture позволяет атакующему, находящемуся в сети, внедрять код в неаутентифицированные HTTP-ответы, получаемые жертвой. Браузер жертвы исполняет внедренный JavaScript, способный подавать на целевой сайт множественные запросы, которые подвергаются сниффингу и анализу. Скрипт не может считывать ответы, так как они зашифрованы, зато их, как и сами запросы, с успехом читает сниффер, который может получить секрет, сравнивая длину зашифрованных сообщений.

«На каждом этапе атаки известен префикс секретного ключа, так как этот фрагмент уже был успешно расшифрован, — пишут далее исследователи. — Этот расшифрованный префикс постепенно удлиняется, пока не станет известен весь секретный ключ, и на этом атака завершается».

Новые атаки, по словам авторов, в шесть раз быстрее прежних BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext), которые, как и CRIME, используют несовершенство алгоритма сжатия gzip. CRIME продемонстрировали в 2012 году исследователи Тхай Зыонг (Thai Duong) и Юлиано Риццо (Juliano Rizzo), такие атаки позволяли восстанавливать заголовки HTTP-запросов, содержащие куки и другие данные, необходимые для аутентификации. Вектором BREACH являлись HTTP-ответы, это был вариант атак на поточные шифры SSL/TLS по сторонним каналам.

Каракостас и Зиндрос также предложили защиту от своих BREACH-атак: все время маркировать куки как несторонние, «из первых рук», что позволит исключить оракул как средство получения секретных данных, подвергнутых сжатию и шифрованию. «В одном из более ранних предложений такого рода был описан соответствующий механизм, позволяющий предотвратить CSRF-атаки, — комментируют исследователи. — Примечательно, что этот же механизм можно использовать для защиты от атак на алгоритм сжатия по сторонним каналам, и при этом такую возможность можно будет полностью исключить. Предложенный метод так и остался черновым вариантом, он не был реализован ни в одном браузере. Мы призываем вендоров браузеров незамедлительно воспользоваться этим предложением, а владельцев веб-сервисов — согласиться на такую меру».

Категории: Аналитика, Главное, Уязвимости