CRIME
此條目翻譯自其他語言維基百科,需要相關領域的編者協助校對翻譯。 |
CRIME(英語:Compression Ratio Info-leak Made Easy,意思為:壓縮率使資訊容易洩露)是一種可攻擊安全隱患(Exploit),通過它可竊取啟用資料壓縮特性的HTTPS或SPDY協定傳輸的私密Web Cookie。[1][2]在成功解讀身分驗證Cookie後,攻擊者可以實行連線劫持和發動進一步攻擊。CRIME被分配為CVE-2012-4929。[3]
細節
[編輯]此漏洞立足於選擇明文攻擊配合資料壓縮無意間造成的資訊洩露,類似密碼學家John Kelsey在2002年所述的方式。[4]它依賴於攻擊者能觀察瀏覽器傳送的密文的大小,並在同時誘導瀏覽器發起多個精心設計的到目標網站的連接。攻擊者會觀察已壓縮請求載荷的大小,其中包括兩個瀏覽器只傳送到目標網站的私密Cookie,以及攻擊者建立的變數內容。當壓縮內容的大小降低時,攻擊者可以推斷注入內容的某些部分與源內容的某些部分匹配,其中包括攻擊者想要發掘的私密內容。使用分治法技術可以用較小的嘗試次數解讀真正秘密的內容,需要恢復的位元組數會大幅降低。[2][5]
CRIME利用方法由安全研究人員Juliano Rizzo和Thai Duong建立,他們還建立了BEAST利用方法。[1]此利用方法在2012年ekoparty安全會議上完全展示。[6]Rizzo和Duong指出,CRIME是一種通用攻擊,可以對眾多協定進行有效攻擊,包括但不限於SPDY(始終壓縮請求頭)、TLS(可能壓縮記錄)和HTTP(可能壓縮回應)。
避免
[編輯]CRIME可以被禁用壓縮挫敗,無論是在客戶端的瀏覽器中禁用壓縮,還是由網站根據TLS的協商特性阻止使用資料壓縮。
漏洞
[編輯]緩解
[編輯]截至2012年9月,針對SPDY和TLS層壓縮的CRIME利用方法在最新版本的Chrome和Firefox瀏覽器中已做緩解。微軟已確認其Internet Explorer瀏覽器不會受到此攻擊,因為其瀏覽器不支援SPDY和TLS壓縮。[1]一些網站已自行應用對策。[7]nginx網頁伺服器從使用OpenSSL 1.0.0+的1.0.9/1.1.6(2011年10月/11月)和使用所有OpenSSL版本的1.2.2/1.3.2(2012年6月/7月)起不會受到此攻擊。[8]
應注意的是,截至2013年12月,針對HTTP壓縮的CRIME利用並未完全緩解。Rizzo和Duong已警告此漏洞的適用範圍可能比SPDY和TLS壓縮更加普遍。
BREACH
[編輯]在2013年8月的Black Hat會議上,研究員Gluck、Harris和Prado宣布了一個CRIME利用方法的變體,它針對HTTP壓縮,稱之為BREACH(全稱:Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext的縮寫,意為「通過自適應超文字壓縮做瀏覽器偵聽和滲透」)。它通過攻擊網頁伺服器為減少網路流量內建的HTTP資料壓縮來解讀HTTPS私密資訊。[9]
參考資料
[編輯]- ^ 1.0 1.1 1.2 Goodin, Dan. Crack in Internet's foundation of trust allows HTTPS session hijacking. Ars Technica. September 13, 2012 [September 13, 2012]. (原始內容存檔於2014-06-21).
- ^ 2.0 2.1 Fisher, Dennis. CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions. ThreatPost. September 13, 2012 [September 13, 2012]. (原始內容存檔於2014-04-10).
- ^ 存档副本. [2016-07-09]. (原始內容存檔於2016-08-03).
- ^ Kelsey, J. Compression and Information Leakage of Plaintext. Fast Software Encryption. Lecture Notes in Computer Science 2365. 2002: 263 [2016-07-09]. ISBN 978-3-540-44009-3. doi:10.1007/3-540-45661-9_21. (原始內容存檔於2016-03-28).
- ^ CRIME - How to beat the BEAST successor?. StackExchange.com. September 8, 2012 [September 13, 2012]. (原始內容存檔於2016-09-13).
- ^ Rizzo, Juliano; Duong, Thai. The CRIME attack. Ekoparty. [September 21, 2012]. (原始內容存檔於2016-04-21) –透過Google Docs.
- ^ Leyden, John. The perfect CRIME? New HTTPS web hijack attack explained. The Register. September 14, 2012 [September 16, 2012]. (原始內容存檔於2016-08-03).
- ^ Sysoev, Igor. Nginx mailing list: crime tls attack. nginx.org. September 26, 2012 [July 11, 2013]. (原始內容存檔於2016-07-02).
- ^ Goodin, Dan. Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages. August 1, 2013 [2016-07-09]. (原始內容存檔於2014-07-01).