НАРУШЕНИЕ

Официальный логотип

BREACH ( backronym : Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext ) - это средство защиты от HTTPS при использовании HTTP-сжатия . BREACH построен на основе взлома безопасности CRIME . BREACH было объявлено на конференции Black Hat в августе 2013 года исследователями в области безопасности Анджело Прадо, Нилом Харрисом и Йоэлем Глюком. Идея обсуждалась в сообществе перед анонсом. ^[1]

Подробности [ править ]

В то время как атака CRIME была представлена как общая атака, которая может эффективно работать против большого количества протоколов, были продемонстрированы только эксплойты против сжатия запросов SPDY и сжатия TLS, и в браузерах и серверах они в значительной степени смягчены. Эксплойт CRIME против сжатия HTTP вообще не был устранен, хотя авторы CRIME предупредили, что эта уязвимость может быть даже более распространенной, чем сжатие SPDY и TLS вместе взятые.

BREACH - это пример CRIME-атаки на HTTP-сжатие - использование алгоритмов сжатия данных gzip или DEFLATE через опцию кодирования содержимого в HTTP многими веб-браузерами и серверами. ^[2] С учетом этого оракула сжатия остальная часть атаки BREACH следует тем же основным принципам, что и эксплойт CRIME, выполняя начальный слепой перебор, чтобы угадать несколько байтов, с последующим поиском « разделяй и властвуй» для расширения правильное предположение для произвольно большого количества контента.

Смягчение [ править ]

BREACH использует сжатие в базовом протоколе HTTP. Следовательно, отключение сжатия TLS не имеет значения для BREACH, который по-прежнему может выполнять атаку с выбранным открытым текстом против полезной нагрузки HTTP. ^[3]

В результате клиенты и серверы либо вынуждены полностью отключить сжатие HTTP (что снижает производительность), либо применять обходные пути, чтобы попытаться предотвратить BREACH в отдельных сценариях атаки, например, используя защиту от подделки межсайтовых запросов (CSRF). ^[4]

Другой предлагаемый подход - отключить сжатие HTTP всякий раз, когда заголовок реферера указывает на межсайтовый запрос или когда заголовок отсутствует. ^[5]^[6] Этот подход позволяет эффективно нейтрализовать атаку без потери функциональности, только снижая производительность затронутых запросов.

Другой подход - добавить заполнение на уровне TLS, HTTP-заголовка или полезной нагрузки. Примерно в 2013–2014 годах IETF подготовил проект предложения по расширению TLS для заполнения, скрывающего длину ^[7], которое теоретически можно было бы использовать в качестве средства защиты от этой атаки. ^[5] Это позволяет замаскировать фактическую длину полезной нагрузки TLS путем вставки дополнения, чтобы округлить ее до фиксированного набора длин, или рандомизировать внешнюю длину, тем самым снижая вероятность обнаружения небольших изменений в степени сжатия, которые является основой для атаки BREACH. Однако срок действия этого черновика истек без каких-либо дальнейших действий.

Ссылки [ править ]

^ "Безопасно ли сжатие HTTP?" . Обмен стеками информационной безопасности . Архивировано 12 апреля 2018 года . Проверено 11 апреля 2018 .
^ Goodin, Dan (1 августа 2013). «Угнать за 30 секунд: новая атака захватывает секреты со страниц, защищенных HTTPS» . Ars Technica.
↑ Анджело Прадо, Нил Харрис и Йоэль Глюк. «SSL, утерянный за 30 секунд: ПРЕСТУПЛЕНИЕ» (PDF) . Проверено 7 сентября 2013 . CS1 maint: обескураженный параметр ( ссылка )
↑ Омар Сантос (6 августа 2013 г.). «НАРУШЕНИЕ, ПРЕСТУПНОСТЬ и черная шляпа» . Cisco.
^ a b Иван Ристич (14 октября 2013 г.). «Защита от атаки BREACH» . Qualys.com . Проверено 25 ноября 2013 . CS1 maint: обескураженный параметр ( ссылка )
^ manu (14 октября 2013 г.). «Уменьшение НАРУШЕНИЯ» . Сообщество Qualys . Проверено 25 ноября 2013 . CS1 maint: обескураженный параметр ( ссылка )
^ А. Пиронти; и другие. (2013-09-11). «Заполнение, скрывающее длину для протокола безопасности транспортного уровня» . Сетевая рабочая группа IETF . Проверено 18 октября 2017 . CS1 maint: обескураженный параметр ( ссылка )

Внешние ссылки [ править ]

Инструмент, запускающий атаку BREACH, продемонстрированный на BlackHat 2013
HEIST , атака на тело ответа, основанная на сжатии, продемонстрированная на BlackHat 2016.

[1] "Безопасно ли сжатие HTTP?" . Обмен стеками информационной безопасности . Архивировано 12 апреля 2018 года . Проверено 11 апреля 2018 .

[2] Goodin, Dan (1 августа 2013). «Угнать за 30 секунд: новая атака захватывает секреты со страниц, защищенных HTTPS» . Ars Technica.

[3] Анджело Прадо, Нил Харрис и Йоэль Глюк. «SSL, утерянный за 30 секунд: ПРЕСТУПЛЕНИЕ» (PDF) . Проверено 7 сентября 2013 . CS1 maint: обескураженный параметр ( ссылка )

[4] Омар Сантос (6 августа 2013 г.). «НАРУШЕНИЕ, ПРЕСТУПНОСТЬ и черная шляпа» . Cisco.

[ristic1-5] Иван Ристич (14 октября 2013 г.). «Защита от атаки BREACH» . Qualys.com . Проверено 25 ноября 2013 . CS1 maint: обескураженный параметр ( ссылка )

[6] u (14 октября 2013 г.). «Уменьшение НАРУШЕНИЯ» . Сообщество Qualys . Проверено 25 ноября 2013 . CS1 maint: обескураженный параметр ( ссылка )

[7] А. Пиронти; и другие. (2013-09-11). «Заполнение, скрывающее длину для протокола безопасности транспортного уровня» . Сетевая рабочая группа IETF . Проверено 18 октября 2017 . CS1 maint: обескураженный параметр ( ссылка )

[1]