Войти
CRIME (Утечка информации о степени сжатия Made Easy ) - это эксплойт безопасности против секретных веб-файлов cookie через соединения с использованием протоколов HTTPS и SPDY, которые также используют сжатие данных. При использовании для восстановления содержимого секретных файлов cookie аутентификации, он позволяет злоумышленнику выполнить захват сеанса в аутентифицированном веб-сеансе, позволяя запускать дальнейшие атаки. CRIME был присвоен CVE - 2012-4929.
Используемая уязвимость представляет собой комбинацию выбранной атаки с открытым текстом и непреднамеренной утечки информации посредством сжатия данных, аналогичного тому, что описал в 2002 году криптограф Джон Келси. Он полагается на возможность злоумышленника наблюдать за размером зашифрованного текста, отправленного браузером, в то же время побуждая браузер установить несколько тщательно созданных веб-соединений с целевым сайтом. Затем злоумышленник наблюдает за изменением размера полезной нагрузки сжатого запроса, который содержит как секретный файл cookie, который отправляется браузером только на целевой сайт, так и переменное содержимое, создаваемое злоумышленником, по мере изменения переменного содержимого. Когда размер сжатого содержимого уменьшается, можно сделать вывод, что вероятно, что некоторая часть внедренного содержимого соответствует некоторой части источника, который включает секретное содержимое, которое злоумышленник желает обнаружить. Затем можно использовать методы «разделяй и властвуй» для определения истинного секретного содержимого при относительно небольшом количестве попыток проверки, которое является небольшим кратным количеству секретных байтов, подлежащих восстановлению.
Эксплойт CRIME был выдвинут Адамом Лэнгли и впервые продемонстрирован исследователями безопасности Джулиано Риццо и Тай Дуонг, которые также создали эксплойт BEAST. Эксплойт должен был быть полностью раскрыт на конференции по безопасности 2012 ekoparty. Риццо и Дуонг представили CRIME как общую атаку, которая эффективно работает против большого количества протоколов, включая, помимо прочего, SPDY (который всегда сжимает заголовки запросов), TLS (который может сжимать записи) и HTTP (который может сжимать ответы).
CRIME можно победить, предотвратив использование сжатия либо на стороне клиента, либо отключив сжатие запросов SPDY браузером, либо веб-сайт, предотвратив использование сжатия данных. о таких транзакциях с использованием функций согласования протоколов протокола TLS. Как подробно описано в Протоколе безопасности транспортного уровня (TLS) версии 1.2, клиент отправляет список алгоритмов сжатия в своем сообщении ClientHello, а сервер выбирает один из них и отправляет его обратно в своем сообщении ServerHello. Сервер может выбрать только метод сжатия, предложенный клиентом, поэтому, если клиент предлагает только «none» (без сжатия), данные не будут сжаты. Точно так же, поскольку все клиенты TLS должны «не использовать сжатие», сервер всегда может отказаться от использования сжатия.
По состоянию на сентябрь 2012 года эксплойт CRIME против сжатия на уровне SPDY и TLS был описан как смягченный в последних на тот момент версиях Chrome и Firefox веб-браузеры. Некоторые веб-сайты применили контрмеры со своей стороны. Веб-сервер nginx не был уязвим для CRIME с 1.0.9 / 1.1.6 (октябрь / ноябрь 2011 г.) с использованием OpenSSL 1.0.0+ и с 1.2.2 / 1.3..2 (июнь / июль 2012 г.) с использованием всех версий OpenSSL.
Обратите внимание, что по состоянию на декабрь 2013 г. эксплойт CRIME против сжатия HTTP вообще не был устранен. Риццо и Дуонг предупредили, что эта уязвимость может быть даже более распространенной, чем сжатие SPDY и TLS вместе взятые.
На конференции Black Hat в августе 2013 года исследователи Глюк, Харрис и Прадо объявили о варианте использования CRIME против сжатия HTTP под названием BREACH (сокращение от Browser Reconnaissance и Exfiltration via Adaptive Compression of Hypertext). Он раскрывает секреты HTTPS, атакуя встроенное сжатие данных HTTP, используемое веб-серверами для уменьшения сетевого трафика.
