Исследователи продемонстрировали образец успешной атаки на SSL/TLS

Недавний взлом удостоверяющего центра голландской компании DigiNotar породил активные дискуссии в сообществе специалистов по информационной безопасности. Стало известно и о первых результатах исследований экспертов. По данным средств массовой информации на конференции Ekoparty 7 планируется продемонстрировать новый метод взлома SSL/TLS.

Тхой Донг и Джулиано Риццо, известные по разработке метода взлома приложений ASP.NET, планируют опубликовать свой доклад о взломе SSL/TLS и одновременно показать инструмент для взлома, под названием BEAST (Browser Exploit Against SSL/TLS). BEAST, по словам разработчиков, позволяет перехватывать пользовательский трафик, несмотря на то, что он передается по шифрованному каналу. В частности, речь идет о похищении кукиса с идентификационными данными пользователя. В предварительном докладе был приведен пример перехвата кукиса платежного сервиса PayPal, при этом отмечается, что метод применим для любого другого сайта.

Эксперты отмечают, что продемонстрированный пример является первым в истории работающим методом атаки против SSL 3.0 и TLS 1.0, в помощью которого появляется возможность расшифровки передаваемых через зашифрованный канал данных «на лету». Опасность продемонстрированного метода атаки в том, что он может быть использован для перехвата данных при работе пользователя с онлайн-банкингом, сервисами электронных валют, интернет-магазинов и прочих сервисов, общение с которыми производится по HTTPS.

Специалисты отмечают, что проблема, поднятая Тхой Донгом и Джулиано Риццо имеет критический характер, поскольку продемонстрированный ими взлом основан на архитектурных недостатках протоколов TLS 1.0 и SSL 3.0. Устранение недостатков возможно только при значительной модификации протоколов. По данным экспертов, обсуждение данного вопроса, в том числе и с разработчиками браузеров, ведется в закрытом режиме уже с мая этого года, однако результатом обсуждения является только уверенность в том, что предложенные выходы из положения ломают совместимость и делают ряд приложений неработоспособными.

Атака на канал, защищенный с помощью SSL/TLS производится в несколько этапов. Рассмотрим каждый из них более подробно.

Для организации атаки в браузере пользователья запускается специальный JavaScript-апплет. Запуск апплета производится после того, как браузер установил с удаленным сервером соединение по зашифрованному каналу. Поскольку соединение по SSL в настоящем виде существует достаточно долгое время, апплет вполне успевает похитить все необходимые конфиденциальные данные.

При этом, что весьма опасно, нет никакой необходимости привязывать зловредный JavaScript-апплет к конкретному сайту. Для проведения атаки апплет должен быть просто запущен, в том числе в новой вкладке или во встроенном iframe любого другого сайта. Открытие постороннего сайта вполне можно обеспечить со стороны самого пользователя, к примеру, методами банальной социальной инженерии. JavaScript-апплет злоумышленники могут использовать для отправки специально сформированных поддельных запросов, снабженных контрольными маркерами, что позволит им воссоздать отдельные блоки для шифра SSL/TLS, использующего алгоритм AES.

После того, как JavaScript-апплет определит TLS-соединения, связанные с конкретным веб-сайтом, производится их перехват и расшифровка. Как известно, в начальной части HTTPS-запроса к серверу содержится специальный авторизующий HTPPS-кукис. Его расшифровка может позволить злоумышленнику вклиниться в активную сессию и организовать похищение данных пользователя.

По данным разработчиков метода, расшифровка содержимого блоков, передаваемых по SSL/TLS-каналу, производится путем сравнения поддельных блоков, генерируемых JavaScript-апплетов, с настоящими блоками. В случае, если содержимое блока совпадает, информация об этом накапливается апплетом. В конечном итоге выявляется совпадение со всеми необходимыми блоками. Разработчики сообщают, что для расшифровки HTTPS-кукиса, со средним размером в одну-две тысячи байт требуется не более 10 минут. Если сайт использует вместо SSL 3.0 устаревшую, вторую версию спецификации, расшифровка занимает значительно меньше времени.

Кроме атаки с использование веб-браузера пользователя, разработчики приводят примеры атак на другие программные продукты, в частности, на мессенджеры, почтовые клиенты, программы для работы с VPN и так далее. Решением ситуации для производителей веб-браузеров, на взгляд автором метода, является внедрение обходного пути блокировки подобного рода атак. Полностью решить проблему можно будет только после перехода на новый протокол, лишенный найденных архитектурных недостатков.