Tool
cracks SSL cookies in just ten minutes
20 September 2011, 17:32
Theo:
http://www.h-online.com/security/news/item/Tool-cracks-SSL-cookies-in-just-ten-minutes-1346387.html
Bài được đưa lên
Internet ngày: 20/09/2011
Lời
người dịch: Vào thứ sáu, 23/09, tại hội nghị an ninh
Ekoparty ở Buenos Aires, các nhà nghiên cứu Juliano Rizzo và
Thái Dương đang lên kế hoạch trình diễn một công cụ
có tên là BEAST - Trình duyệt khai thác chống lại SSL/TSL
(Browser Exploit Against SSL/TLS). Công cụ này cho phép một kẻ
tấn công vào cùng một mạng để chặn đường và giải
mã các cookies SSL bằng việc thực hiện một cuộc tấn
công có khả năng phá cookie được mã hóa của PayPal
trong ít hơn 10 phút. Tuy nhiên “cuộc tấn công chỉ làm
việc ở những nơi truyền thông được mã hóa với TLS
phiên bản 1.0 - còn phiên bản 1.1, đã được áp dụng
vào năm 2006, là không bị tổn thương đối với cuộc
tấn công này” và “gần như tất cả các kết nối
HTTPS sử dụng TLS 1.0. OpenSSL được sử dụng trong một
số lượng lớn các máy chủ, nhưng chỉ phiên bản 1.0.1,
một phiên bản phát triển, hiện hỗ trợ tiêu chuẩn TLS
1.1”.
Vào thứ sáu, 23/09,
tại hội nghị an ninh Ekoparty ở Buenos Aires, các nhà
nghiên cứu Juliano Rizzo và Thái Dương đang lên kế hoạch
trình diễn một công cụ có tên là BEAST - Trình duyệt
khai thác chống lại SSL/TSL (Browser Exploit Against SSL/TLS).
Công cụ này cho phép một kẻ tấn công vào cùng một
mạng để chặn đường và giải mã các cookies SSL bằng
việc thực hiện một cuộc tấn công dạng văn bản thô
được chọn thích nghi cho việc khóa ('blockwise-adaptive
chosen-plaintext') vào các gói được mã hóa.
Kẻ tấn công phải
làm cho trình duyệt gửi đi một số dữ liệu tới site ở
xa qua kênh được mã hóa. Khi kẻ tấn công bây giờ có
cả văn bản thô và văn bản được mã hóa, chúng có khả
năng xác định entropy được sử dụng, làm giảm đáng
kể công việc có liên quan trong việc phá mã hóa. Theo các
bình luận của Rizzo cho tờ Register, BEAST bây giờ có khả
năng phá cookie được mã hóa của PayPal trong ít hơn 10
phút.
Bí mật nằm trong
cách nó điều khiển các gói - các trang HTTPS trên thực
tế được bảo vệ thích hợp với sự mã hóa của
chúng. Các nhà nghiên cứu đã chỉ nói rằng BEAST dựa
vào JavaScript sẽ được châm vào trình duyệt của các
nạn nhân. Phần còn lại được thực hiện với một sự
đánh hơi mạng. Chính xác cách mà sau đó làm việc còn
chưa được làm rõ và đã làm bật dậy một cuộc tranh
luận sống động bên trong cộng đồng an ninh.
Cuộc tấn công chỉ
làm việc ở những nơi truyền thông được mã hóa với
TLS phiên bản 1.0 - còn phiên bản 1.1, đã được áp dụng
vào năm 2006, là không bị tổn thương đối với cuộc
tấn công này. Tuy nhiên, trong thực tế, gần như tất cả
các kết nối HTTPS sử dụng TLS 1.0. OpenSSL được sử
dụng trong một số lượng lớn các máy chủ, nhưng chỉ
phiên bản 1.0.1, một phiên bản phát triển, hiện hỗ trợ
tiêu chuẩn TLS 1.1. Chưa có cách chữa trị đặc chủng
nào cho vấn đề này hiện có sẵn.
On
Friday, 23 September, at the Ekoparty
security conference in Buenos Aires, researchers Juliano Rizzo and
Thai Duong are planning to present
a tool known as BEAST (Browser Exploit Against SSL/TLS). The tool
allows an attacker on the same network to intercept and decrypt SSL
cookies by performing a 'blockwise-adaptive
chosen-plaintext' attack on encrypted packets.
The
attacker has to get the browser to send some data to the remote site
over the encrypted channel. Since the attacker now has both plain and
encrypted text, they are able to determine the entropy used,
significantly reducing the work involved in cracking the encryption.
According to comments
made by Rizzo to The
Register, BEAST is now
able to crack an encrypted PayPal cookie in less than ten minutes.
The
secret lies in the way that it manipulates packets – HTTPS pages
are in fact adequately protected by their encryption. The researchers
have said only that BEAST is based on JavaScript which has to be
injected into the victim's browser. The rest is done by a network
sniffer. Exactly how the latter works has not yet been made clear and
has already triggered a lively debate within the security community.
The
attack only works where communication is encrypted with TLS version
1.0 – version 1.1, which was adopted in 2006, is not vulnerable to
this attack. In practice, however, nearly all HTTPS connections
continue to make use of TLS 1.0. OpenSSL is used on a large number of
servers, but only version 1.0.1, a development release, currently
supports the newer TLS 1.1 standard. No specific remedies for this
problem are available at present.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.