CRIME

CRIME (Compression Ratio Info-leak Made Easy) és una vulnerabilitat de seguretat en els protocols HTTPS i SPDY que utilitzen la compressió, que pot filtrar el contingut de les galetes web secretes.^[1] Quan s'utilitza per recuperar el contingut de les galetes d'autenticació secreta, permet que un atacant realitzi un segrest de sessió en una sessió web autenticada, permetent el llançament de més atacs. S'ha assignat a CRIME CVE-2012-4929.

Detalls[modifica]

La vulnerabilitat explotada és una combinació d'atac de text pla escollit i fuga d'informació inadvertida mitjançant la compressió de dades, similar a la descrita l'any 2002 pel criptògraf John Kelsey.^[2] Es basa en el fet que l'atacant sigui capaç d'observar la mida del text xifrat enviat pel navegador i, al mateix temps, indueix el navegador a fer múltiples connexions web dissenyades amb cura al lloc objectiu. Aleshores, l'atacant observa el canvi de mida de la càrrega útil de la sol·licitud comprimida, que conté tant la galeta secreta que el navegador envia només al lloc objectiu, com el contingut variable creat per l'atacant, a mesura que s'altera el contingut variable. Quan es redueix la mida del contingut comprimit, es pot inferir que és probable que alguna part del contingut injectat coincideixi amb alguna part de la font, que inclou el contingut secret que l'atacant vol descobrir. Aleshores, les tècniques de dividir i conquerir es poden utilitzar per trobar el veritable contingut secret en un nombre relativament petit d'intents de sondeig que és un petit múltiple del nombre de bytes secrets que s'han de recuperar.^[3]^[4]

Adam Langley va plantejar la hipòtesi de l'explotació CRIME i va ser demostrada per primera vegada pels investigadors de seguretat Juliano Rizzo i Thai Duong, que també van crear l'explotació BEAST.^[5] L'explotació s'havia de revelar íntegrament a la conferència de seguretat d'ekoparty del 2012.^[6] Rizzo i Duong van presentar CRIME com un atac general que funciona eficaçment contra un gran nombre de protocols, inclosos, entre d'altres, SPDY (que sempre comprimeix les capçaleres de sol·licituds), TLS (que pot comprimir registres) i HTTP (que pot comprimir respostes).^[7]

Prevenció[modifica]

El CRIME es pot vèncer impedint l'ús de la compressió, ja sigui a l'extrem del client, mitjançant el navegador desactivant la compressió de les sol·licituds SPDY, o mitjançant el lloc web impedint l'ús de la compressió de dades en aquestes transaccions mitjançant les funcions de negociació del protocol del protocol TLS. Tal com es detalla a The Transport Layer Security (TLS) Protocol Version 1.2,^[8] el client envia una llista d'algoritmes de compressió al seu missatge ClientHello, i el servidor en tria un i l'envia de nou al seu missatge ServerHello. El servidor només pot triar un mètode de compressió que el client ha ofert, de manera que si el client només ofereix "cap" (sense compressió), les dades no es comprimiran. De la mateixa manera, com que tots els clients TLS han de permetre "sense compressió", un servidor sempre es pot negar a utilitzar la compressió.

Mitigació[modifica]

A Setembre 2012^[update], the CRIME exploit against SPDY and TLS-level compression was described as mitigated in the then-latest versions of the Chrome and Firefox web browsers.^[9] Some websites have applied countermeasures at their end.^[10] The nginx web-server was not vulnerable to CRIME since 1.0.9/1.1.6 (October/November 2011) using OpenSSL 1.0.0+, and since 1.2.2/1.3.2 (June / July 2012) using all versions of OpenSSL.^[11]

Tingueu en compte que des de desembre de 2013, l'explotació CRIME contra la compressió HTTP no s'ha mitigat en absolut. Rizzo i Duong han advertit que aquesta vulnerabilitat podria estar encara més estesa que la compressió SPDY i TLS combinades.

BREACH[modifica]

A la conferència de Black Hat d'agost de 2013, els investigadors Gluck, Harris i Prado van anunciar una variant de l'explotació CRIME contra la compressió HTTP anomenada BREACH (abreviatura de Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext). Descobreix secrets HTTPS atacant la compressió de dades HTTP integrada utilitzada pels servidors web per reduir el trànsit de xarxa.

Referències[modifica]

↑ Fisher, Dennis. «CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions» (en anglès). ThreatPost, 13-09-2012. [Consulta: 13 setembre 2012].
↑ Kelsey, J. «Compression and Information Leakage of Plaintext». A: Fast Software Encryption (en anglès). 2365, 2002, p. 263–276 (Lecture Notes in Computer Science). DOI 10.1007/3-540-45661-9_21. ISBN 978-3-540-44009-3.
↑ Fisher, Dennis. «CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions» (en anglès). ThreatPost, 13-09-2012. [Consulta: 13 setembre 2012].
↑ «CRIME - How to beat the BEAST successor?» (en anglès). StackExchange.com, 08-09-2012. [Consulta: 13 setembre 2012].
↑ Goodin, Dan. «Crack in Internet's foundation of trust allows HTTPS session hijacking» (en anglès). Ars Technica, 13-09-2012. [Consulta: 13 setembre 2012].
↑ Rizzo, Juliano. «The CRIME attack» (en anglès). Ekoparty. [Consulta: 21 setembre 2012].
↑ «CVE-2012-4929» (en anglès). Mitre Corporation.
↑ Dierks, T.; Resorla, E. "The Transport Layer Security (TLS) Protocol Version 1.2 - Appendix A.4.1 (Hello messages)", agost 2008. DOI: 10.17487/RFC5246 [Consulta: 10 juliol 2013].
↑ Goodin, Dan. «Crack in Internet's foundation of trust allows HTTPS session hijacking» (en anglès). Ars Technica, 13-09-2012. [Consulta: 13 setembre 2012].
↑ Leyden, John. «The perfect CRIME? New HTTPS web hijack attack explained» (en anglès). The Register, 14-09-2012. [Consulta: 16 setembre 2012].
↑ Sysoev, Igor. «Nginx mailing list: crime tls attack» (en anglès). nginx.org, 26-09-2012. [Consulta: 11 juliol 2013].

[fisher2012-09-13-1] Fisher, Dennis. «CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions» (en anglès). ThreatPost, 13-09-2012. [Consulta: 13 setembre 2012].

[2] Kelsey, J. «Compression and Information Leakage of Plaintext». A: Fast Software Encryption (en anglès). 2365, 2002, p. 263–276 (Lecture Notes in Computer Science). DOI 10.1007/3-540-45661-9_21. ISBN 978-3-540-44009-3.

[fisher2012-09-132-3] Fisher, Dennis. «CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions» (en anglès). ThreatPost, 13-09-2012. [Consulta: 13 setembre 2012].

[4] «CRIME - How to beat the BEAST successor?» (en anglès). StackExchange.com, 08-09-2012. [Consulta: 13 setembre 2012].

[goodin2012-09-13-5] Goodin, Dan. «Crack in Internet's foundation of trust allows HTTPS session hijacking» (en anglès). Ars Technica, 13-09-2012. [Consulta: 13 setembre 2012].

[6] Rizzo, Juliano. «The CRIME attack» (en anglès). Ekoparty. [Consulta: 21 setembre 2012].

[:02-7] «CVE-2012-4929» (en anglès). Mitre Corporation.

[8] Dierks, T.; Resorla, E. "The Transport Layer Security (TLS) Protocol Version 1.2 - Appendix A.4.1 (Hello messages)", agost 2008. DOI: 10.17487/RFC5246 [Consulta: 10 juliol 2013].

[goodin2012-09-132-9] Goodin, Dan. «Crack in Internet's foundation of trust allows HTTPS session hijacking» (en anglès). Ars Technica, 13-09-2012. [Consulta: 13 setembre 2012].

[10] Leyden, John. «The perfect CRIME? New HTTPS web hijack attack explained» (en anglès). The Register, 14-09-2012. [Consulta: 16 setembre 2012].

[11] Sysoev, Igor. «Nginx mailing list: crime tls attack» (en anglès). nginx.org, 26-09-2012. [Consulta: 11 juliol 2013].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]