CRIME(英语:Compression Ratio Info-leak Made Easy,意思为:压缩率使信息容易泄露)是一种可攻击安全隐患(Exploit),通过它可窃取启用数据压缩特性的HTTPSSPDY协议传输的私密Web Cookie[1][2]在成功解读身份验证Cookie后,攻击者可以实行会话劫持和发动进一步攻击。CRIME被分配为CVE-2012-4929。[3]

细节

此漏洞立足于选择明文攻击配合数据压缩无意间造成的信息泄露英语Information_leakage,类似密码学家John Kelsey英语John_Kelsey_(cryptanalyst)在2002年所述的方式。[4]它依赖于攻击者能观察浏览器发送的密文的大小,并在同时诱导浏览器发起多个精心设计的到目标网站的连接。攻击者会观察已压缩请求载荷的大小,其中包括两个浏览器只发送到目标网站的私密Cookie,以及攻击者创建的变量内容。当压缩内容的大小降低时,攻击者可以推断注入内容的某些部分与源内容的某些部分匹配,其中包括攻击者想要发掘的私密内容。使用分治法技术可以用较小的尝试次数解读真正秘密的内容,需要恢复的字节数会大幅降低。[2][5]

CRIME利用方法由安全研究人员Juliano Rizzo和Thai Duong创建,他们还创建了BEAST利用方法。[1]此利用方法在2012年ekoparty英语Ekoparty安全会议上完全展示。[6]Rizzo和Duong指出,CRIME是一种通用攻击,可以对众多协议进行有效攻击,包括但不限于SPDY(始终压缩请求头)、TLS(可能压缩记录)和HTTP(可能压缩响应)。

避免

CRIME可以被禁用压缩挫败,无论是在客户端的浏览器中禁用压缩,还是由网站根据TLS的协商特性阻止使用数据压缩。

漏洞

缓解

截至2012年9月,针对SPDY和TLS层压缩的CRIME利用方法在最新版本的ChromeFirefox浏览器中已做缓解。微软已确认其Internet Explorer浏览器不会受到此攻击,因为其浏览器不支持SPDY和TLS压缩。[1]一些网站已自行应用对策。[7]nginx网页服务器从使用OpenSSL 1.0.0+的1.0.9/1.1.6(2011年10月/11月)和使用所有OpenSSL版本的1.2.2/1.3.2(2012年6月/7月)起不会受到此攻击。[8]

应注意的是,截至2013年12月,针对HTTP压缩的CRIME利用并未完全缓解。Rizzo和Duong已警告此漏洞的适用范围可能比SPDY和TLS压缩更加普遍。

BREACH

在2013年8月的Black Hat英语Black_Hat_Briefings会议上,研究员Gluck、Harris和Prado宣布了一个CRIME利用方法的变体,它针对HTTP压缩,称之为BREACH英语BREACH_(security_exploit)(全称:Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext的缩写,意为“通过自适应超文本压缩做浏览器侦听和渗透”)。它通过攻击网页服务器为减少网络流量内置的HTTP数据压缩来解读HTTPS私密信息。[9]

参考资料

  1. ^ 1.0 1.1 1.2 Goodin, Dan. Crack in Internet's foundation of trust allows HTTPS session hijacking. Ars Technica. September 13, 2012 [September 13, 2012]. (原始内容存档于2014-06-21). 
  2. ^ 2.0 2.1 Fisher, Dennis. CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions. ThreatPost. September 13, 2012 [September 13, 2012]. (原始内容存档于2014-04-10). 
  3. ^ 存档副本. [2016-07-09]. (原始内容存档于2016-08-03). 
  4. ^ Kelsey, J. Compression and Information Leakage of Plaintext. Fast Software Encryption. Lecture Notes in Computer Science 2365. 2002: 263 [2016-07-09]. ISBN 978-3-540-44009-3. doi:10.1007/3-540-45661-9_21. (原始内容存档于2016-03-28). 
  5. ^ CRIME - How to beat the BEAST successor?. StackExchange.com. September 8, 2012 [September 13, 2012]. (原始内容存档于2016-09-13). 
  6. ^ Rizzo, Juliano; Duong, Thai. The CRIME attack. Ekoparty. [September 21, 2012]. (原始内容存档于2016-04-21) –通过Google Docs. 
  7. ^ Leyden, John. The perfect CRIME? New HTTPS web hijack attack explained. The Register. September 14, 2012 [September 16, 2012]. (原始内容存档于2016-08-03). 
  8. ^ Sysoev, Igor. Nginx mailing list: crime tls attack. nginx.org. September 26, 2012 [July 11, 2013]. (原始内容存档于2016-07-02). 
  9. ^ Goodin, Dan. Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages. August 1, 2013 [2016-07-09]. (原始内容存档于2014-07-01).