Black Hat: Конфиденциальную информацию из SSL/TLS-трафика можно похитить за 30 секунд

На конференции Black Hat 2013 была представлена новая методика взлома BREACH, которая позволяет извлекать символы логинов, числа идентификаторов сессий пользователей и другую конфиденциальную информацию из зашифрованного web-трафика SSL/TLS. Секретные данные, которые обеспечивают безопасность онлайн-банкинга и магазинов электронной торговли, можно извлечь из канала HTTPS всего лишь за 30 секунд.

BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) нацеливается на алгоритм сжатия данных Deflate, который используется для экономии трафика в рамках web-коммуникации. Эксплоит является усовершенствованной версией эксплоита CRIME, который также использует сжатие зашифрованных web-запросов против пользователей.

По заявлениям экспертов, Анджело Прадо (Angelo Prado), Нила Харриса (Neal Harris) и Йоэля Глюка (Yoel Gluck), все версии TLS/SSL подвержены риску от BREACH независимо от используемого ими алгоритма шифрования.

Для осуществления атаки злоумышленник должен постоянно перехватывать трафик между пользователем и web-сервером для того, чтобы перенаправить жертву на поддельный сайт. Этот портал содержит сценарий, который заставляет браузер жертвы посещать целевой сайт тысячи раз – постоянно добавляя в него новые комбинации данных. Когда те байты, которые контролирует мошенник совпадают с байтами из потока, функция сжатия данных в браузере работает некорректно, а размер передаваемой информации уменьшается и злоумышленник может похитить интересующие его данные.

«Мы не расшифровываем весь поток данных, а только то, что нас интересует. Это целенаправленная атака. Нам нужно найти ту часть (ответ сайта), в которой хранится токен или пароль и последовать туда для того, чтобы получить секретную информацию», - отметил Глюк.

По заявлениям исследователей, токены и другая конфиденциальная информация, отправляемая через SSL, может быть перехвачена, даже если зашифрованный контент и заказы, отправляемые в магазины электронной торговли, не входят в рамки атаки. Прадо, Харрис и Глюк выпустили специальные инструменты для того, чтобы проверять сайты на уязвимость к BREACH, а также представили методы защиты от подобных эксплоитов.