LINUX.ORG.RU

Очередное решето

 , , , ,


1

3

Расширение протокола HTTPS, которое защищает миллионы сайтов и сотни миллионов пользователей, уязвимо к новому типу атаки. Эксплоит позволяет получить зашифрованные адреса электронной почты, номера страхования и другие личные данные пользователей. Причем злоумышленнику нет необходимости вести наблюдение или контролировать интернет-соединение жертвы.

Другими словами, эксплоит не требует использования MITM (man-in-the-middle) схемы. Вместо этого жертву атакуют при помощи невинного JavaScript файла, скрытого в рекламе или «вшитого» прямо в страницу вредоносного сайта. Вредоносный код после успешного выполнения может запрашивать ряд типов страниц, защищенных SSL или TSL протоколом и получать точный размер файлов с зашифрованными данными, которые передаются в защищенном режиме. Новый тип атаки получил название HEIST (HTTP Encrypted Information can be Stolen Through TCP-Windows).

Работает эта атака благодаря тому, что скрипт изучает тип ответа фреймворка, который отдается клиенту (обычно это браузер), от которого пришел HTTP-запрос. Как только злоумышленник получает информацию о точном размере зашифрованных данных, он может использовать несколько ранее известных эксплоитов для получения тестовой информации, скрытой внутри зашифрованного файла.

Если точнее, то здесь используются эксплоиты BREACH (Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext) и CRIME. BREACH позволяет получить тестовую информацию из защищенного файла всего за 30 секунд. CRIME не отстает от своего собрата. CRIME позволяет с помощью нескольких запросов побайтово подбирать содержимое cookies, наблюдая за значениями, которые выдаёт zlib. Эксплоит расшифровывает значение cookies по 4-6 запросов на каждый байт base64.

Технология HEIST была показана и объяснена на конференции Black Hat. По словам специалистов по информационной безопасности, HEIST позволяет проводить атаки быстрее и эффективнее, чем раньше. Тем более, что теперь не нужна схема MITM. Злоумышленники получают нужную информацию практически сразу после того, как жертва посещает зараженный сайт или сайт с зараженной рекламой.

До настоящего момента злоумышленнику необходимо было активно управлять трафиком, идущего от сервера к пользователю. HEIST позволяет убрать это ограничение. Эксплоит использует TCP характеристики как квази-криптографический вторичный канал для оценки размера HTTPS ответа. TCP разделяет большие передачи на меньшие фрагменты определенного размера, называемые фреймами. В дальнейшем фреймы группируются внутри «TCP-окон», отправляемых по одному за единицу времени. TCP отправляет новое окно только после получения подтверждения получения предыдущей группы фреймов.

HEIST может просчитывать количество фреймов и окон, путем взаимодействия с набором недавно одобренных API. Это Resource Timing и Fetch. В результате получается определить точный размер HTTPS ответа. А дальше, как уже говорилось выше, в дело вступают BREACH и CRIME. На выходе злоумышленник получает закрытую ранее информацию. Специалисты уже представили результаты своей работы Google и Microsoft. Так что представленный на Black Hat метод не стал сюрпризом для этих компаний. Злоумышленнику достаточно узнать CSRF токен жертвы, после чего аккаунт пользователя на определенном сайте можно скомпрометировать.

По словам авторов работы, представленной на Black Hat, пользователь может снизить вероятность успешного осуществления HEIST атаки, запретив в настройках браузера сторонние куки. С другой стороны, ряд сервисов просто не будет работать без сторонних куки.

При демонстрации атаки удалось измерить размер зашифрованных ответов для New York Times, используя сайт targetwebsite.com.

HEIST также эффективен против HTTP/2, обновленного стандарта HTTP. В некоторых ситуациях особенности HTTP/2 даже увеличивают эффективность работы HEIST. В частности, если используется HTTP/2, эксплоит может одновременно опрашивать несколько источников.

Сейчас, по мнению авторов работы, комбинированная атака с использованием BREACH и HEIST является одним из наиболее простых методов компрометации пользовательских аккаунтов самых разных ресурсов.

https://habrahabr.ru/company/kingservers/blog/307206/

★☆

яничегонепонял

Vit ★★★★★ ()
Ответ на: комментарий от Vit

Вроде бы кто-то по длине шаблонного ответа пытается понять что в этом пакете. В общем логика такая: если коробка квадратная, то внутри что-то круглое, а раз круглое, то оранжевое, а раз круглое и оранжевое значит апельсин.

Stahl ★★☆ ()

1. Ненавижу JS

2. Ненавижу http

IT пошло в массы по пути наименьшего сопротивления мозгов обезьян вот и имеем в итоге яваскрипты с рекламой и апплетами. Фу, граждане.

unt1tled ★★★★ ()

Если любой хелловорлд под миллион строк и гигабайт на диске, чего вы хотите.

ilovewindows ★★★★ ()

«вшитого» прямо в страницу вредоносного сайта

я не совсем понял, если js вшит в сайт, то что там надо расшифровывать, он и так получает доступ к данным.

swelf ()
Ответ на: комментарий от unt1tled

капитализм - осталось бы айти в недрах университетов, до сих пор бы на осцилографе в тетрис бы играли

Nicholass ★★★ ()

И ещё потом кто-то будет убеждать меня про необходимость отключения блокировки рекламы. Когда, получается, что рекламная сеть может свободно инжектнуть свой вредоносный скрипт, и ни пользователь, на сам сайт ничего не заметят. Замечательно получается.

DawnCaster ()
Ответ на: комментарий от Stahl

Просто очередное описание возможности что то там получить, а у автора уже истерика.

Я бы лично хотел побольше свободы, а то дошло уже до того что я находясь на http://site1.com могу запилить в <canvas /> картинку с http://site2.com/pics/image.jpg могу спокойно с ее пиксельной матрицей работать а вот получить блоб или Base64 уже нет потому что она на другом домене находится.
Просто уже бесит. А еще бесит что расширения свои нельзя ставить, ну хоть бы зделали как в макOS - только из магазина/подписанные/из любых источников, нет, ставь только из магазина

uin ★★ ()
Последнее исправление: uin (всего исправлений: 1)
Ответ на: комментарий от unt1tled

IT пошло в массы по пути наименьшего сопротивления мозгов обезьян

фцитатнег, высечь на камне :D

Harald ★★★★★ ()
Ответ на: комментарий от Nicholass

осталось бы айти в недрах университетов, до сих пор бы на осцилографе в тетрис бы играли

Мы на осцилогрофах в дум1 играем, ты только не кому не говори.

petyanamlt ★★☆ ()
Ответ на: комментарий от petyanamlt

Я так понимаю, вы на осцилограф qemu поставили, и в нём досовский дум1 гоняете?

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

Я честно не в курсе как это работает, я сборщик, а эту хрень у нас инженеры мутят. Хочешь спрошу у них?

petyanamlt ★★☆ ()
Ответ на: комментарий от Sociopsih

Лучше скрины покажи или маленький видосик.

Слушай, мне за видосик яйца оторвут, сами инженеры, а потом сдадут....

petyanamlt ★★☆ ()
Ответ на: комментарий от petyanamlt

Да ладно. Уже не надо. Я на ютубе глянул, как это примерно выглядит на примере Квейка и Турнамента.

Sociopsih ★★ ()
Ответ на: комментарий от unt1tled

яваскрипты с рекламой и апплетами.

с разморозкой, js-реклама это прошлый век. сейчас можно js в сервер пихать.

upcFrost ★★★★★ ()
Ответ на: комментарий от upcFrost

сейчас можно js в сервер пихать

как будто что-то хорошее

unt1tled ★★★★ ()
Ответ на: комментарий от upcFrost

Сервера на js, сайты на js, браузеры на js... Так мы до хайлоада дойдём на js... OH SHI-

StReLoK ★☆ ()

невинного JavaScript файла

Йотэс не нужен, NoScript rulez.

скрытого в рекламе

AdBlock+ rulez.

dexpl ★★★★★ ()
Ответ на: комментарий от dexpl

NoScript

Фу.

AdBlock

Фу.[2]

uBlock Origin + uMatrix заруливают эту связку по всем параметрам.

StReLoK ★☆ ()
Ответ на: комментарий от StReLoK

Так и знал, что против ненужности йотэса возражений не будет.

dexpl ★★★★★ ()
Ответ на: комментарий от no-dashi

Я так понимаю, вы на осцилограф qemu поставили, и в нём досовский дум1 гоняете?

dosbox проще же.

alwayslate ()
Ответ на: комментарий от unt1tled

плюсстопитцотктулху, фхтагн, высечь в камне в назидание нашим потомкам-жабаскриптерам-быдлокодерам.

gnomosek ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)