17.10.2012 НовостиЭксперты eScan опубликовали сведения о способах защиты компьютеров от новой уязвимости протоколов SSL, TLS и SPDY, обеспечивающих безопасность соединений и передаваемых данных в Интернете. Очередная уязвимость этих протоколов была продемонстрирована недавно на конференции Ekoparty в Буэнос-Айресе. Атака с использованием новой бреши получила название CRIME (Compression Ratio Info-leak Made Easy). Во время этой атаки эксплуатируются алгоритмы сжатия данных. В случае протокола SSL это происходит следующим образом: получив сообщение для отправки, SSL разбивает его на блоки, при необходимости сжимает, вычисляет код аутентичности MAC, шифрует, добавляет заголовок и передает. Сжатие является необязательной, но часто используемой функцией. Атака CRIME основана на изменении размера сжатых сообщений, что происходит, например, при добавлении аутентификационных данных cookies. Тот факт, что сжатие происходит до шифрования, а информация не подвергается дополнительной рандомизации, позволяет злоумышленнику расшифровать сообщение и, если украдены cookies, провести несанкционированную авторизацию в системе. Для проведения атаки CRIME на компьютер жертвы необходимо загрузить вредоносный код. Это можно сделать, к примеру, перенаправив пользователя на инфицированную Web-страницу. Интерес к защищенности SSL-соединений вызван, в частности, развитием облачных технологий. Все большее число компаний и домашних пользователей используют облачные сервисы для хранения и обработки важной информации, а ...
читать далее.