[HVA News] – CRIME, kiểu tấn công mới chống lại SSL/TLS


Hai nhà nghiên cứu về an toàn thông tin là Juliano Rizzo và Dương Ngọc Thái (thaidn) đang chuẩn bị để trình bày tại hội thảo Ekoparty ở Argentina vào cuối tháng này một kiểu tấn công mới có tên là CRIME nhằm vào SSL/TLS. Đây cũng là nhóm tác giả của BEAST, một kiểu tấn công nữa chống lại SSL/TLS được công bố vào cuối năm ngoái.

CRIME khai thác điểm yếu có trong một tính năng của TLS 1.0 nhưng thông tin về tính năng này hiện chưa được tiết lộ. Họ nói rằng tất cả các phiên bản của SSL/TLS – bao gồm cả TLS 1.2 đều chịu ảnh hưởng. Một khi nằm giữa kết nối của người dùng tới máy chủ Web thì họ có thể tóm các lưu lượng HTTPS được trao đổi và thực hiện giải mã cookie để chiếm phiên làm việc của người dùng. Cách mà họ chọn để có thể nằm tại vị trí chắn giữa này là nạp và thực thi đoạn mã JavaScript trong trình duyệt Web của người dùng nhưng không nhất thiết phải là JavaScript hay bất cứ plug-in nào khác vì họ nói có thể dùng mã HTML tĩnh để làm chuyện này.

Một biện pháp để khắc chế BEAST là đổi cipher suite (dùng RC4 thay cho AES) nhưng điều này không có tác dụng đối với CRIME. Các tác giả còn nói thêm rằng tính năng trong SSL/TLS mà CRIME đang khai thác chưa phải là chủ đề chính của các nghiên cứu bảo mật trong quá khứ: “Rủi ro khi triển khai tính năng này đã được thảo luận trước đây. Tuy nhiên, chúng tôi không tìm thấy bất kỳ nghiên cứu nào chỉ ra một kiểu tấn công khả dĩ hay những cố gắng để khắc phục điểm yếu này từ những người phát triển các giao thức bảo mật”, Rizzo nói.

Hiện tại, cả Firefox và Chrome đều là các trình duyệt Web chịu ảnh hưởng bởi tấn công CRIME nhưng theo các nhà nghiên cứu thì trong một vài tuần tới Mozilla và Google sẽ cung cấp các bản vá tới người dùng để khắc phục vấn đề này.

manthang – HVA News

Tham khảo:
[1] http://www.h-online.com/security/news/item/BEAST-creators-develop-new-SSL-attack-1702136.html
[2] http://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s