The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новая техника атаки для выявления содержимого отдельных блок..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от opennews (??) on 07-Фев-13, 21:38 
В различных реализациях протоколов SSL, TLS и DTLS, в том числе в OpenSSL, GnuTLS, PolarSSL, OpenJDK, CyaSSL, MatrixSSL, yaSSL и NSS, обнаружена (http://arstechnica.com/security/2013/02/lucky-thirteen-attac.../) возможность совершения атаки (http://www.isg.rhul.ac.uk/tls/), позволяющей в процессе длительного перебора восстановить содержимое предсказуемых отрывков контента, передаваемого внутри отдельных блоков защищённого соединения. В целом атака достаточно труднореализуема, но интересна своим подходом к решению задачи.


Суть метода сводится к тому, что вначале осуществляется перехват зашифрованных блоков, после чего, используя известные проблемы TLS-режима CBC (Cipher Block Chaining), атакующий заменяет несколько последних блоков на подставные блоки, отправляет изменённую перехваченную последовательность и измеряет время реакции сервера. Проблемные реализации SSL отличаются тем, что преданный атакующим зашифрованный блок обрабатывается заметно быстрее, если он заполнен корректно (корректное padding-заполнение, используемое для выравнивания зашифрованного блока по границе 8 или 16 байт, определяется быстрее). TLS после каждой неудачи разрывает соединение и требует создания новой сессии.


Таким образом атакущий может организовать отправку большого числа пробных TLS-сообщений, накапливая статистику о времени ответа сервера на каждый запрос. В конечном счёте с определённой вероятностью можно понять (http://nmav.gnutls.org/2013/02/time-is-money-for-cbc-ciphers...), что попытка подбора оказались успешной. С практической стороны атака может применяться для восстановления содержимого значения аутентификационной Сookie или других небольших предсказуемых данных.

Для успеха подбора аутентификационной Сookie типового сайта требуется отправка колоссального числа пробных запросов (нужно создать порядка <small>2<sup>23</sup></small> сессий), что придаёт атаке в основном умозрительный характер. Тем не менее, чем более предсказуемо содержимое, тем меньше попыток требуется, например, если используется BASE64-кодирование, то число попыток уменьшается до <small>2<sup>19</sup></small>, а если содержимое байта в последних двух позициях блока заранее известно - <small>2<sup>13</sup></small>. Для увеличения эффективности атаки до <small>2<sup>13</sup></small> также предлагается использовать элементы несколько лет назад представленной техники BEAST (https://www.opennet.ru/opennews/art.shtml?num=31797), основанной на использовании  JavaScript-кода в браузере жертвы для генерации блоков с заранее известным содержимым.


В настоящее время проблема уже устранена в OpenSSL (http://www.openssl.org/news/secadv_20130205.txt) (1.0.1d, 1.0.0k и 0.9.8y), GnuTTL (http://gnutls.org/security.html#GNUTLS-SA-2013-1) (3.1.7, 3.0.28 и 2.12.23), PolarSSL 1.2.5 (https://polarssl.org/tech-updates/releases/polarssl-1.2.5-re...), CyaSSL 2.5.0 (http://www.yassl.com/yaSSL/Docs-cyassl-changelog.html), MatrixSSL 3.4.1 (http://matrixssl.org/news.html) и в браузере Opera 12.13.

URL: http://arstechnica.com/security/2013/02/lucky-thirteen-attac.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=36056

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от Аноним (??) on 07-Фев-13, 21:46 
Угадать нужно значение аутентификационной Сookie, а не размер. Как в этом поможет выравнивание?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Новая техника атаки для выявления содержимого отдельных блок..."  +1 +/
Сообщение от pavlinux (ok) on 08-Фев-13, 00:13 
Не понятно другое, что время ответа реального сервера,
мало зависит от данных, но пропорционально его загруженности.

Для российских провайдеров, особенно МТС, это техника ваще бесполезна,
ибо искать закономерность в хаосе с задержками - нереально.  

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от Аноним (??) on 08-Фев-13, 17:00 
> Не понятно другое, что время ответа реального сервера,
> мало зависит от данных, но пропорционально его загруженности.
> Для российских провайдеров, особенно МТС, это техника ваще бесполезна,
> ибо искать закономерность в хаосе с задержками - нереально.

Тащемта, цель МТС - телефония, а не провайдерство тырнета.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от pavlinux (ok) on 08-Фев-13, 18:10 
> Тащемта, цель МТС - телефония, а не провайдерство тырнета.

Из любопытства хотябы на их сайт зашёл, в услуги посмотрел.

МТС никого не спросив купила МТУ-Информ, а с ним и пару мильонов
юзеров ADSL-,Ethernet-сетей. Подсосала под себя Комстар с  юзерами WiMax,
и там же кормится МГТС. Объединилаи всех в один канал, включая старых
мобильных и теперь связь стала полное говно. Потомуша у мобильного
трафика приоритет больше, качают раз в 100 меньше, при этом стоит
в три раза дешевле. (или в 30 раз дороже).

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

3. "Новая техника атаки для выявления содержимого отдельных блок..."  +2 +/
Сообщение от A.Stahl on 07-Фев-13, 21:48 
>проблема уже устранена

Т.е проблема не существует, но её уже побороли?
Одна (практическая) половина моей шизофренической личности говорит, что код был бесполезно усложнён, а другая (параноидальная) половина говорит: "Грр... У-у-у!...Бр-бр-бр..."

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Новая техника атаки для выявления содержимого отдельных блок..."  +2 +/
Сообщение от Dron (ok) on 07-Фев-13, 22:33 
Да, я вот тоже думаю... Если проблема состояла в том, что неправильные данные обрабатываются дольше чем правильные... они ускорили обработку неправильных или замедлили обработку правильных? :)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от A.Stahl on 07-Фев-13, 22:41 
Мне кажется, что это не так уж и важно.
2^13 это много. Это неимоверно много. Так что эта так называемая "атака" представляет лишь академический интерес. Вряд ли какая-либо сессия будет длиться дольше, чем будет собираться статистика из как минимум 2^13 запросов.
Я считаю, что в ответ на подобные изыскания разработчики библиотек должны были бы лишь улыбнуться и заняться чем-то более полезным.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от Dron (ok) on 07-Фев-13, 22:56 
Я так и знал, они тормознули крутейший memcmp! Теперь он при совпадении и при несовпадении работает с одинаковой скоростью.

При запросах через сеть - может быть и много, а перебором - раз плюнуть. Подходы можно разные найти.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от Аноним (??) on 07-Фев-13, 22:56 
8192 это много ???
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от A.Stahl on 07-Фев-13, 23:11 
>8192

Тьфу ты. Пишу одно, думаю другое...
Я на изначальные 2^23 смотрел.

А так да. 8192 пакетов не так уж и мало, но ничего особенного.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от КЭП on 07-Фев-13, 23:06 
2^13 это всего лишь 8192. А это очень мало.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Новая техника атаки для выявления содержимого отдельных блок..."  –1 +/
Сообщение от sergey.vfx on 07-Фев-13, 23:01 
Неправильные данные обрабатывались быстрее, что есть логично :)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от Анонимнез on 07-Фев-13, 22:16 
md5 тоже когдато был трудноломаем
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от Аноним (??) on 08-Фев-13, 17:01 
> md5 тоже когдато был трудноломаем

Это было давно и неправда.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от Аноним (??) on 08-Фев-13, 09:34 
это известный тип проблем. она сродни взлома кода на смарткартах анализируя ток потребления. Также можно получать информацию смотря на cachemiss, если имееш логин на сайте.

поправят

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Новая техника атаки для выявления содержимого отдельных блок..."  +/
Сообщение от Аноним (??) on 08-Фев-13, 17:01 
> это известный тип проблем. она сродни взлома кода на смарткартах анализируя ток
> потребления. Также можно получать информацию смотря на cachemiss, если имееш логин
> на сайте.
> поправят

Великий и могучий, о русский языка. А по каковски-это?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру