安全研究人员已经扩展并提高了三岁的攻击,利用用于加速浏览的压缩机制,以便从加密的Web流量恢复敏感信息。
这种被称为BREACH的攻击利用了许多Web服务器使用的gzip/DEFLATE算法来减少响应HTTP请求时的延迟。这种压缩机制泄露加密连接的信息,并允许中间人攻击者恢复身份验证cookie和其他敏感信息。
在2013年8月的美国黑帽安全会议上,安全研究员Angelo Prado, Neal Harris和Yoel Gluck首次提出了BREACH(通过自适应压缩超文本的浏览器侦察和泄露)攻击。虽然理论上它会影响所有SSL/TLS密码,但它们的攻击版本对使用流密码加密的连接(如RC4)最有效。
另一组研究人员,来自雅典国立技术大学的Dimitris Karakostas和来自雅典大学的Dionysis Zindros,已经对BREACH进行了改进,使其可以用于攻击TLS分组密码,比如目前比RC4更常用的AES。
Karakostas和Zindros上周在黑色帽子亚洲安全会议上展示了他们的违约优化,并发布了一个叫做“破裂”的开源框架可用于发射此类压缩相关的攻击。
他们的演示包括对Gmail和Facebook Chat的两个概念证明攻击,以证明许多网站,包括一些最安全的网站,都是脆弱的。
违规要求攻击者处于网络位置,允许拦截受害者的Web流量。这可以通过损害路由器或互联网基础架构中的ISP或智能机构等Internet基础架构来实现这一点。
然后,攻击者必须找到应用程序中容易受到攻击的部分,该部分通过URL参数接受输入,并将该输入反映到加密的响应中。
在Gmail的情况下,研究人员发现,其移动站点上的搜索功能允许此类输入反射:通过URL参数传递的搜索字符串包含在响应页面中,例如在一条消息中表示没有结果那个特定的字符串。此外,如果请求由经过身份验证的会话进行,则响应还包括识别该会话的身份验证令牌。
gzip压缩在HTTP中的工作方式是,如果在一个响应中有同一个字符串的多个实例,第一个实例将被保留,其余的将被对第一个实例位置的简短引用替换。这减少了响应的大小。
因此,在Gmail的情况下,如果用户搜索与认证令牌匹配的确切字符串——甚至是认证令牌的一部分——那么在响应中会出现两个相同字符序列的实例。由于压缩,对于不同的搜索字符串,响应的大小将小于其他响应。
对于BREACH,攻击者的目标是欺骗用户的浏览器向脆弱的应用程序发送大量请求——比如Gmail中的移动搜索功能——目的是猜测身份验证令牌。身份验证令牌将在响应中加密,但每次搜索字符串将匹配身份验证令牌的一点,通过网络观察到的响应将更小。
这最终允许通过在新请求中不断修改搜索字符串来包括已发现的字符,顺序猜测认证令牌中的每个字符。它基本上是对每个角色的强力攻击,具有作为成功指示符的HTTP压缩的变化。
破裂框架允许攻击者将流氓码注入由用户浏览器打开的每个未加密的HTTP连接。该代码旨在强制浏览器在背景中对易受侦听的HTTPS应用程序进行请求。
与流密码相比,块CIPHERS将噪声引入响应,因为它们在加密之前将称为填充的虚拟位添加到数据,以便它可以分成特定尺寸的块。取消此噪声并使用违规技术恢复加密数据需要执行比具有使用流密码加密的相同数据所需的更大数量的请求。
乍一看,这似乎让攻击变得不那么实际。然而,Karakostas和Zindros设计了一种基于统计的方法,通过计算为同一测试字符发送的多个响应的平均响应长度来绕过噪声。他们还做了其他优化,引入了浏览器并行化,从而大大提高了针对使用块密码的TLS连接的原始攻击速度。
三年后爆发宣布后,RC4被认为是不安全,大多数网站使用AES阻塞密码,研究人员在他们的技术论文。Facebook等一些服务也继续加入了防止BREACH的机制。然而,BREACH的基本方面仍然没有得到缓解,包括Facebook在内的流行网站继续支持脆弱的终端。”
研究人员总结说:“我们的工作表明,BREACH可以进化到攻击主要的网络应用程序,这证实了TLS通信实际上仍然是脆弱的。”
一个提出了互联网标准称为第一方或同一站点cookie可以保护网站免受违规攻击。如果通过浏览器采用,如果这些请求由不同的网站发起,则这种机制将阻止饼干被列入向网站发送给网站的请求。
也就是说,如果站点A上的代码指示浏览器启动到网站B的请求,即使浏览器确实具有与站点B的活动,经过现实的会话,该请求也不会包含用户的身份验证cookie。
这种机制主要旨在防止跨站点请求伪造(CSRF)攻击,但也会破坏突发,因为攻击依赖于类似的启动流氓跨站点请求的方法。
谷歌Chrome将在51版中支持同站点cookie,该版本将在5月份达到稳定状态。然而,除非该机制在所有浏览器中实现,否则网站所有者将没有什么动力开始在他们的cookie中使用新的“SameSite”标志。