BREACH ( backronym : Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext ) - это средство защиты от HTTPS при использовании HTTP-сжатия . BREACH построен на основе взлома безопасности CRIME . BREACH было объявлено на конференции Black Hat в августе 2013 года исследователями в области безопасности Анджело Прадо, Нилом Харрисом и Йоэлем Глюком. Идея обсуждалась в сообществе перед анонсом. [1]
Подробности [ править ]
В то время как атака CRIME была представлена как общая атака, которая может эффективно работать против большого количества протоколов, были продемонстрированы только эксплойты против сжатия запросов SPDY и сжатия TLS, и в браузерах и серверах они в значительной степени смягчены. Эксплойт CRIME против HTTP-сжатия вообще не был устранен, хотя авторы CRIME предупредили, что эта уязвимость может быть даже более распространенной, чем сжатие SPDY и TLS вместе взятые.
BREACH - это пример CRIME-атаки на HTTP-сжатие - использование алгоритмов сжатия данных gzip или DEFLATE через опцию кодирования содержимого в HTTP многими веб-браузерами и серверами. [2] С учетом этого оракула сжатия остальная часть атаки BREACH следует тем же основным принципам, что и эксплойт CRIME, выполняя начальный слепой перебор, чтобы угадать несколько байтов, с последующим поиском « разделяй и властвуй» для расширения правильное предположение для произвольно большого количества контента.
Смягчение [ править ]
BREACH использует сжатие в основном протоколе HTTP. Следовательно, отключение сжатия TLS не имеет значения для BREACH, который по-прежнему может выполнять атаку с выбранным открытым текстом против полезной нагрузки HTTP. [3]
В результате клиенты и серверы либо вынуждены полностью отключить сжатие HTTP (что снижает производительность), либо применять обходные пути, чтобы попытаться предотвратить BREACH в отдельных сценариях атаки, например, используя защиту от подделки межсайтовых запросов (CSRF). [4]
Другой предлагаемый подход - отключить сжатие HTTP всякий раз, когда заголовок реферера указывает на межсайтовый запрос или когда заголовок отсутствует. [5] [6] Этот подход позволяет эффективно нейтрализовать атаку без потери функциональности, только снижая производительность затронутых запросов.
Другой подход - добавить заполнение на уровне TLS, HTTP-заголовка или полезной нагрузки. Примерно в 2013–2014 годах IETF представил проект предложения по расширению TLS для заполнения, скрывающего длину [7], которое теоретически можно было бы использовать в качестве защиты от этой атаки. [5] Это позволяет замаскировать фактическую длину полезной нагрузки TLS путем вставки дополнения, чтобы округлить ее до фиксированного набора длин, или рандомизировать внешнюю длину, тем самым снижая вероятность обнаружения небольших изменений степени сжатия, которые является основой для атаки BREACH. Однако срок действия этого черновика истек без каких-либо дальнейших действий.
Ссылки [ править ]
- ^ "Безопасно ли сжатие HTTP?" . Обмен стеками информационной безопасности . Архивировано 12 апреля 2018 года . Проверено 11 апреля 2018 .
- ^ Goodin, Dan (1 августа 2013). «Угнать за 30 секунд: новая атака захватывает секреты со страниц, защищенных HTTPS» . Ars Technica.
- ↑ Анджело Прадо, Нил Харрис и Йоэль Глюк. «SSL, исчезнувший за 30 секунд: ПРЕСТУПЛЕНИЕ» (PDF) . Проверено 7 сентября 2013 .
- ↑ Омар Сантос (6 августа 2013 г.). «НАРУШЕНИЕ, ПРЕСТУПНОСТЬ и черная шляпа» . Cisco.
- ^ a b Иван Ристич (14 октября 2013 г.). «Защита от атаки BREACH» . Qualys.com . Проверено 25 ноября 2013 .
- ^ manu (14 октября 2013 г.). «Уменьшение НАРУШЕНИЯ» . Сообщество Qualys . Проверено 25 ноября 2013 .
- ^ А. Пиронти; и другие. (2013-09-11). «Заполнение, скрывающее длину для протокола безопасности транспортного уровня» . Сетевая рабочая группа IETF . Проверено 18 октября 2017 .
Внешние ссылки [ править ]
- Инструмент, запускающий атаку BREACH, продемонстрированный на BlackHat 2013
- HEIST , связанная атака на основе сжатия на тело ответа, продемонстрированная на BlackHat 2016
