Toolcracks SSL cookies in just ten minutes
20 September 2011, 17:32
Theo:http://www.h-online.com/security/news/item/Tool-cracks-SSL-cookies-in-just-ten-minutes-1346387.html
Bài được đưa lênInternet ngày: 20/09/2011
Lờingười dịch: Vào thứ sáu, 23/09, tại hội nghị an ninhEkoparty ở Buenos Aires, các nhà nghiên cứu Juliano Rizzo vàThái Dương đang lên kế hoạch trình diễn một công cụcó tên là BEAST - Trình duyệt khai thác chống lại SSL/TSL(Browser Exploit Against SSL/TLS). Công cụ này cho phép một kẻtấn công vào cùng một mạng để chặn đường và giảimã các cookies SSL bằng việc thực hiện một cuộc tấncông có khả năng phá cookie được mã hóa của PayPaltrong ít hơn 10 phút. Tuy nhiên “cuộc tấn công chỉ làmviệc ở những nơi truyền thông được mã hóa với TLSphiên bản 1.0 - còn phiên bản 1.1, đã được áp dụngvào năm 2006, là không bị tổn thương đối với cuộctấn công này” và “gần như tất cả các kết nốiHTTPS sử dụng TLS 1.0. OpenSSL được sử dụng trong mộtsố lượng lớn các máy chủ, nhưng chỉ phiên bản 1.0.1,một phiên bản phát triển, hiện hỗ trợ tiêu chuẩn TLS1.1”.
Vào thứ sáu, 23/09,tại hội nghị an ninh Ekoparty ở Buenos Aires, các nhànghiên cứu Juliano Rizzo và Thái Dương đang lên kế hoạchtrình diễn một công cụ có tên là BEAST - Trình duyệtkhai thác chống lại SSL/TSL (Browser Exploit Against SSL/TLS).Công cụ này cho phép một kẻ tấn công vào cùng mộtmạng để chặn đường và giải mã các cookies SSL bằngviệc thực hiện một cuộc tấn công dạng văn bản thôđược chọn thích nghi cho việc khóa ('blockwise-adaptivechosen-plaintext') vào các gói được mã hóa.
Kẻ tấn công phảilàm cho trình duyệt gửi đi một số dữ liệu tới site ởxa qua kênh được mã hóa. Khi kẻ tấn công bây giờ cócả văn bản thô và văn bản được mã hóa, chúng có khảnăng xác định entropy được sử dụng, làm giảm đángkể công việc có liên quan trong việc phá mã hóa. Theo cácbình luận của Rizzo cho tờ Register, BEAST bây giờ có khảnăng phá cookie được mã hóa của PayPal trong ít hơn 10phút.
Bí mật nằm trongcách nó điều khiển các gói - các trang HTTPS trên thựctế được bảo vệ thích hợp với sự mã hóa củachúng. Các nhà nghiên cứu đã chỉ nói rằng BEAST dựavào JavaScript sẽ được châm vào trình duyệt của cácnạn nhân. Phần còn lại được thực hiện với một sựđánh hơi mạng. Chính xác cách mà sau đó làm việc cònchưa được làm rõ và đã làm bật dậy một cuộc tranhluận sống động bên trong cộng đồng an ninh.
Cuộc tấn công chỉlàm việc ở những nơi truyền thông được mã hóa vớiTLS phiên bản 1.0 - còn phiên bản 1.1, đã được áp dụngvào năm 2006, là không bị tổn thương đối với cuộctấn công này. Tuy nhiên, trong thực tế, gần như tất cảcác kết nối HTTPS sử dụng TLS 1.0. OpenSSL được sửdụng trong một số lượng lớn các máy chủ, nhưng chỉphiên bản 1.0.1, một phiên bản phát triển, hiện hỗ trợtiêu chuẩn TLS 1.1. Chưa có cách chữa trị đặc chủngnào cho vấn đề này hiện có sẵn.
OnFriday, 23 September, at the Ekopartysecurity conference in Buenos Aires, researchers Juliano Rizzo andThai Duong are planning to presenta tool known as BEAST (Browser Exploit Against SSL/TLS). The toolallows an attacker on the same network to intercept and decrypt SSLcookies by performing a 'blockwise-adaptivechosen-plaintext' attack on encrypted packets.
Theattacker has to get the browser to send some data to the remote siteover the encrypted channel. Since the attacker now has both plain andencrypted text, they are able to determine the entropy used,significantly reducing the work involved in cracking the encryption.According to commentsmade by Rizzo to TheRegister, BEAST is nowable to crack an encrypted PayPal cookie in less than ten minutes.
Thesecret lies in the way that it manipulates packets – HTTPS pagesare in fact adequately protected by their encryption. The researchershave said only that BEAST is based on JavaScript which has to beinjected into the victim's browser. The rest is done by a networksniffer. Exactly how the latter works has not yet been made clear andhas already triggered a lively debate within the security community.
Theattack only works whe-re communication is encrypted with TLS version1.0 – version 1.1, which was adopted in 2006, is not vulnerable tothis attack. In practice, however, nearly all HTTPS connectionscontinue to make use of TLS 1.0. OpenSSL is used on a large number ofservers, but only version 1.0.1, a development release, currentlysupports the newer TLS 1.1 standard. No specific remedies for thisproblem are available at present.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...