Авторы BEAST разработали ещё одну атаку на SSL/TLS
Известные хакеры Джулиано Риццо (Juliano Rizzo) и Тай Дуонг (Thai Duong) снова дали о себе знать. Они заявились на конференцию по безопасности Ekoparty, которая пройдёт 19-21 сентября в Аргентине. Там они опишут новый способ атаки на SSL/TLS, не уступающий по эффективности пресловутой программе BEAST (Browser Exploit Against SSL/TLS.), которая широко обсуждалась в прошлом году как первая в истории атака, реально направленная на декодирование запросов HTTPS.
Именно эта пара исследователей разработали утилиту BEAST для сбора пользовательских cookies из защищённых SSL/TLS сессий. Они также известны как авторы атаки с оракулом на набивку в ASP.NET в 2010 году, которая затронула миллионы приложений и заставила Microsoft выпустить срочный патч для закрытия критической уязвимости.
Напомним, что программа BEAST в случае атаки MiTM позволяла хакеру незаметно декодировать данные, которые передаются между веб-сервером и браузером конечного пользователя в зашифрованном виде по TLS. Программа BEAST эксплуатировала функцию алгоритма AES (Advanced Encryption Standard), в котором блоки данных шифруются один за другим, при этом предыдущий блок используется для кодирования последующего. Многие теоретики говорили, что это может привести к появлению эксплойта, и Риццо с Дуонгом первыми разработали такой инструмент. Что интересно, презентация BEAST состоялась в 2011 году тоже на конференции Ekoparty.
Ровно год спустя исследователи намерены продемонстрировать программу под названием CRIME, которая похожа на BEAST по методу работы: она тоже базируется на атаке MiTM и позволяет декодировать сессии HTTPS, в том числе пользовательские куки, перехватывая зашифрованный трафик между сервером и браузером. Уязвимости подвержены все версии TLS, включая TLS 1.2. Но если в случае с BEAST обойти проблему можно было, если заменить AES на другой шифр (например, RC4), то в случае с CRIME это не поможет.
Риццо с Дуонг не признаются, какая именно функция TLS эксплуатируется ими на этот раз, только дают несколько намёков. Они говорят, что эта функция тоже раньше обсуждалась как теоретически уязвимая, но эксплойтов так и не удалось разработать. Они также говорят, что уязвимость работает в Firefox и Chrome, браузеры должны выпустить обновления безопасности перед конференцией Ekoparty, но на самом деле эти обновления только частично решат проблему. Они всего лишь закроют возможность внедрения JavaScript для перехвата HTTPS-трафика, в то время как перехватывать его можно и другими способами, в теории CRIME может работать даже из статического HTML.
Подробнее: http://www.xakep.ru/post/59282/default.asp


Поделиться статьей:
Акция: Закажи любой сайт до окончания акции и получи скидку + подбор семантического ядра + поисковую оптимизацию сайта Это позволит Вам получать еще больше трафика и соответственно клиентов из Интернета!
До конца акции осталось
0
5
4
3
2
1
0
0
9
8
7
6
5
4
3
2
1
0
0
5
4
3
2
1
0
0
9
8
7
6
5
4
3
2
1
0
0
9
8
7
6
5
4
3
2
1
0
0
9
8
7
6
5
4
3
2
1
0
|
Узнайте подробности акции у менеджеров компании по телефонам: 8-924-200-7194 г.Хабаровск 8-800-550-9899 Бесплатно по России (с 2:30 до 11:30 по Мск) |
Новые статьи и публикации
- 2022-08-01 » Яндекс выложил в опенсорс исходный код и документацию фреймворка userver
- 2022-07-29 » Как выявить медленные SQL запросы?
- 2022-07-29 » Читали мое письмо или нет? Как проверить с помощью php — Записки программиста
- 2022-07-26 » Я потратил 30 дней на анализ лучших кнопок призыва к действию, которые смог найти в Интернете
- 2022-06-29 » ТОП-15 актуальных трендов интернет-маркетинга для России: эксперт рассказал о тенденциях рынка в 2022 году
- 2022-06-21 » Почему «99 франков» — это не лучшая ценовая стратегия, и как теперь «рисовать» привлекательные цены
- 2022-06-16 » Пушкинская карта и Культура.РФ на Вашем сайте. Подключим к действующему сайту и(или) сделаем новый!
- 2022-05-18 » Анализ рынка интернет-маркетинга в РФ от Яндекс Дзен
- 2022-05-18 » Итоги развития рекламного рынка РФ за 2021 год по версии АКАР
- 2022-05-18 » Потребление мобильного трафика в Рунете достигло рекордных значений
- 2022-05-17 » Yappy, TenChat и другие. Обзор новых русских соцсетей и их возможностей
- 2022-05-17 » Реклама малого бизнеса. Разбор доступных каналов, инструментов аналитики и терминов
- 2022-05-16 » Зачем нужен счетчик Top@Mail.ru и как установить на сайт пиксель myTarget
- 2022-04-25 » Несмотря на отсутствие блокировки: в Youtube потеряли более 20% активных русскоязычных авторов
- 2022-04-25 » Чат-бот – что это такое
- 2022-04-19 » Комплексная услуга по разработке сайта или Интернет-магазина БЕСПЛАТНО!!!
- 2022-03-17 » Импорт большого дампа БД в OpenServer через консоль
- 2022-02-25 » Возможности и преимущества Google Analytics 4
- 2022-01-18 » Основные UX-тренды 2022 года
- 2021-12-24 » Как увеличить продажи перед Новым годом
- 2021-12-23 » Ключевые запросы − основа эффективного продвижения
- 2021-12-22 » 7 бесплатных сервисов с иконками и паттернами
- 2021-12-08 » Поиск и анализ сайтов конкурентов: для чего это нужно?
- 2021-10-04 » Разработка сайта: вредные советы для желающих платить больше и постоянно переделывать
- 2021-09-14 » Что такое редирект
- 2021-08-10 » Зерокодинг: особенности, преимущества, недостатки
- 2021-08-02 » Особенности оформления подвала сайта
- 2021-06-17 » Особенности SMM-продвижения для проектов B2B
- 2021-05-26 » Скликивание рекламы: как от него защититься?
- 2021-05-26 » Автостратегии Яндекс.Директа: использование и настройка
Предоставляем полный комплекс услуг по созданию, обслуживанию и продвижению сайтов по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.