Известные хакеры Джулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong) снова дали о себе знать. Они заявились на конференцию по безопасности Ekoparty, которая пройдёт 19-21 сентября в Аргентине. Там они опишут новый способ атаки на SSL/TLS, не уступающий по эффективности пресловутой программе BEAST (Browser Exploit Against SSL/TLS.), которая широко обсуждалась в прошлом году как первая в истории атака, реально направленная на декодирование запросов HTTPS. Именно эта пара исследователей разработали утилиту BEAST для сбора пользовательских cookies из защищённых SSL/TLS сессий. Они также известны как авторы атаки с оракулом на набивку в ASP.NET в 2010 году, которая затронула миллионы приложений и заставила Microsoft выпустить срочный патч для закрытия критической уязвимости. Напомним, что программа BEAST в случае атаки MiTM позволяла хакеру незаметно декодировать данные, которые передаются между веб-сервером и браузером конечного пользователя в зашифрованном виде по TLS. Программа BEAST эксплуатировала функцию алгоритма AES (Advanced Encryption Standard), в котором блоки данных шифруются один за другим, при этом предыдущий блок используется для кодирования последующего. Многие теоретики говорили, что это может привести к появлению эксплойта, и Риццо с Дуонгом первыми разработали такой инструмент. Что интересно, презентация BEAST состоялась в 2011 году тоже на конференции Ekoparty. Ровно год спустя исследователи намерены продемонстрировать программу под названием CRIME, которая похожа на BEAST по методу работы: она тоже базируется на атаке MiTM и позволяет декодировать сессии HTTPS, в том числе пользовательские куки, перехватывая зашифрованный трафик между сервером и браузером. Уязвимости подвержены все версии TLS, включая TLS 1.2. Но если в случае с BEAST обойти проблему можно было, если заменить AES на другой шифр (например, RC4), то в случае с CRIME это не поможет. Риццо с Дуонг не признаются, какая именно функция TLS эксплуатируется ими на этот раз, только дают несколько намёков. Они говорят, что эта функция тоже раньше обсуждалась как теоретически уязвимая, но эксплойтов так и не удалось разработать. Они также говорят, что уязвимость работает в Firefox и Chrome, браузеры должны выпустить обновления безопасности перед конференцией Ekoparty, но на самом деле эти обновления только частично решат проблему. Они всего лишь закроют возможность внедрения JavaScript для перехвата HTTPS-трафика, в то время как перехватывать его можно и другими способами, в теории CRIME может работать даже из статического HTML. 07.09.2012 http://www.xakep.ru/post/59282/
Разработан новый метод взлома HTTPS Разработан новый метод взлома HTTPS Исследователи Джулиано Риццо и Тай Дуонг намерены представить новый метод взлома HTTPS в ходе конференции Ekoparty в Аргентине. Исследователи безопасности Джулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong) заявляют о том, что им удалось разработать новый метод расшифровки сессионных cookie в HTTPS (Hypertext Transfer Protocol Secure) соединениях. Web-страницы используют сессионные cookie для того, чтобы запомнить пользователя, прошедшего авторизацию. Если злоумышленнику удастся получить доступ к сессионным cookie этого пользователя, он сможет захватить контроль над его учетной записью. Зашифрованное HTTPS соединение предназначено для того, чтобы предотвратить внедрение в сессию, однако Риццо и Дуонг утверждают, что раскрыли новый способ обхода защиты этого протокола. Их метод, получивший название CRIME, будет представлен в этом месяце в ходе конференции по информационной безопасности Ekoparty в Аргентине. Как сообщает ComputerWorld, недавно разработанный метод атаки эксплуатирует брешь в функциях криптографических протоколов TLS и SSL, которые применяются в HTTPS. Эта брешь распространяется на все современные версии криптографических протоколов. Для успешного проведения атаки код CRIME должен быть загружен в браузер жертвы, что может быть сделано с помощью, например, отправки фишингового сообщения, которое перенаправит пользователя на контролируемую злоумышленником web-страницу. Для ускорения работы кода CRIME, он использует JavaScript, но также может обойтись и без сторонних плагинов в браузере целевой системы. Напомним, что в прошлом году Джулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong) уже представляли инструмент, который позволяет относительно быстро расшифровать содержимое HTTPS протокола, который получил название BEAST, однако он распространялся на старые версии TLS и SSL, а также требовал, чтобы на браузере жертвы был установлен плагин Java. 2012-09-08 http://www.comss.info/page.php?al=vzlom_HTTPS