Опубликована программа для BREACH-атаки на TLS/SSL

Авторы эксплойта BREACH выпустили программу для пентестинга, с помощью которой каждый может попробовать свои силы в взломе HTTPS. Инструмент доступен в виде исходного кода с инструкциями, а также как скомпилированный бинарник.

Для запуска утилиты требуется компьютер под Windows или виртуальная машина. Для модификации кода — фреймворк .NET 3.5 и Visual Studio 2010. Программу проверяли под Windows 7.

Напомним, что атака BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext, то есть браузерное зондирование и эксфильтрация через адаптивную компрессию гипертекста) относится к типу атак с оракулом, когда по длине шифровки мы можем догадаться о ее содержимом. Метод позволяет извлекать пароли и другую ценную информацию из HTTPS-трафика, сжатого архиватором DEFLATE перед шифрованием. Атакующий «тестирует» цель тысячами входных значений, которые должны попасть в заархивированный и зашифрованный трафик, вместе с секретной информацией.

Перед такой атакой уязвимы все сайты, которые используют SSL/TLS шифрование с предварительным сжатием трафика и при этом позволяют отправлять на сайт пользовательские запросы произвольного содержания (например, поисковые запросы). Необходимым условием является также возможность заманить жертву на сайт, который контролируется атакующим, в тот момент, когда у жертвы открыта HTTPS-сессия с сайтом, который мы «тестируем». Естественно, нужна еще и возможность перехватывать зашифрованный трафик пользователя.

BREACH присоединяется к числу предыдущих методов взлома SSL/TLS, таких как Lucky 13, BEAST и CRIME.