fbpx
Wikipedia

CRIME

Mayo 10, 2022

CRIME ("Compression Ratio Info-leak Made Easy" o filtración de información de ratio de compresión hecho fácil) es un exploit de seguridad contra cookies web secretas que operan sobre conexiones usando los protocolos HTTPS y SPDY y que también usan compresión.[1][2]​ Cuando se usa para recuperar el contenido de cookies de autenticación secretas, permite al atacante llevar a cabo el secuestro de una sesión web autenticada, permitiendo así lanzar otros ataques.

Detalles

La vulnerabilidad explotada es una combinación de inyección de texto plano y de fuga de información a través de compresión de datos similar a la descrita en 2002 por el criptógrafo John Kelsey.[3]​ Esta se basa en que el atacante sea capaz de observar el tamaño del ciphertext enviado por el navegador mientras al mismo tiempo inducir al navegador a hacer múltiples conexiones cuidadosamente diseñadas al sitio web objetivo. El atacante entonces observará el cambio en el tamaño de la información solicitada, la que contiene tanto la cookie secreta que se envía por el navegador al sitio web, contenido variable creado por el atacante y como el contenido variable es alterado. Cuando el tamaño del contenido comprimido es reducido, se puede inferir que es probable que en alguna parte del contenido inyectado, ésta sea igual a parte del contenido original, la que incluye el contenido secreto que el atacante desea descubrir. La técnica división y conquista puede utilizarse entonces para averiguar el contenido secreto usando un número relativamente pequeño de intentos, los que serán un pequeño múltiplo de los bytes secretos a ser recuperados.[2][4]

El exploit CRIME fue creado por los investigadores de seguridad Juliano Rizzo y Thai Duong, quienes también crearon el exploit BEAST.[1]​ El exploit fue revelado en detalle en la conferencia de seguridad informática ekoparty 2012.[5]

Prevención

CRIME puede ser vencido al prevenir el uso de compresión, ya sea en el cliente o por el navegador deshabilitando la compresión de solicitudes HTTPS, o por el sitio web previniendo el uso de compresión de datos en dichas transacciones usando la negociación de protocolos de TLS.[cita requerida]

Vulnerabilidad

A septiembre de 2012, el exploit CRIME ha sido mitigado por las nuevas versiones de Chrome y Firefox, y Microsoft ha confirmado que su navegador Internet Explorer no era vulnerable a dicho ataque.[1]​ Algunos sitios han aplicado contramedidas por su parte también.[6]​ El servidor web nginx no era vulnerable a Crime desde la versión 1.0.9/1.1.6 (octubre / noviembre de 2011) utilizando OpenSSL 1.0.0 +, y desde 1.2.2/1.3.2 (junio / julio de 2012) utilizando cualquier versión de OpenSSL.[7]

A diciembre de 2013, el exploit CRIME contra la compresión HTTP no se ha mitigado en absoluto. Rizzo y Duong han advertido que esta vulnerabilidad podría estar aún más extendida que la compresión SPDY y TLS combinadas.

BREACH

Artículo principal: BREACH (ataque)

En la conferencia Black Hat de agosto de 2013, los investigadores Gluck, Harris y Prado anunciaron una instancia del CRIME exploit contra la compresión HTTP llamado BREACH (abreviatura de Reconocimiento de Browser y exfiltración mediante Compresión adaptable de hipertexto). Esta destapa secretos HTTPS atacando la compresión de datos HTTP incorporada utilizado por los servidores web para reducir el tráfico de red.[8]

Véase también

Referencias

  1. Dan Goodin (13 de septiembre de 2012). «Crack in Internet's foundation of trust allows HTTPS session hijacking». Ars Technica. Consultado el 13 de septiembre de 2012. 
  2. Dennis Fisher (13 de septiembre de 2012). . ThreatPost. Archivado desde el original el 15 de septiembre de 2012. Consultado el 13 de septiembre de 2012. 
  3. Kelsey, J. (2002). «Compression and Information Leakage of Plaintext». Fast Software Encryption. Lecture Notes in Computer Science 2365: 263. doi:10.1007/3-540-45661-9_21. 
  4. «CRIME - How to beat the BEAST successor?». StackExchange.com. Consultado el 13 de septiembre de 2012. 
  5. Juliano Rizzo, Thai Duong. «The CRIME attack». Ekoparty. Consultado el 21 de septiembre de 2012. 
  6. John Leyden (14 de septiembre de 2012). «The perfect CRIME? New HTTPS web hijack attack explained». The Register. Consultado el 16 de septiembre de 2012. 
  7. Sysoev, Igor (26 de septiembre de 2012). «Nginx mailing list: crime tls attack». nginx.org. Consultado el 11 de julio de 2013. 
  8. Goodin, Dan (1 de agosto de 2013). «Gone in 30 seconds: New attack plucks secrets from HTTPS-protected pages». 
  •   Datos: Q3084134

Mayo 10, 2022
crime, compression, ratio, info, leak, made, easy, filtración, información, ratio, compresión, hecho, fácil, exploit, seguridad, contra, cookies, secretas, operan, sobre, conexiones, usando, protocolos, https, spdy, también, usan, compresión, cuando, para, rec. CRIME Compression Ratio Info leak Made Easy o filtracion de informacion de ratio de compresion hecho facil es un exploit de seguridad contra cookies web secretas que operan sobre conexiones usando los protocolos HTTPS y SPDY y que tambien usan compresion 1 2 Cuando se usa para recuperar el contenido de cookies de autenticacion secretas permite al atacante llevar a cabo el secuestro de una sesion web autenticada permitiendo asi lanzar otros ataques Indice 1 Detalles 2 Prevencion 2 1 Vulnerabilidad 2 2 BREACH 3 Vease tambien 4 ReferenciasDetalles EditarLa vulnerabilidad explotada es una combinacion de inyeccion de texto plano y de fuga de informacion a traves de compresion de datos similar a la descrita en 2002 por el criptografo John Kelsey 3 Esta se basa en que el atacante sea capaz de observar el tamano del ciphertext enviado por el navegador mientras al mismo tiempo inducir al navegador a hacer multiples conexiones cuidadosamente disenadas al sitio web objetivo El atacante entonces observara el cambio en el tamano de la informacion solicitada la que contiene tanto la cookie secreta que se envia por el navegador al sitio web contenido variable creado por el atacante y como el contenido variable es alterado Cuando el tamano del contenido comprimido es reducido se puede inferir que es probable que en alguna parte del contenido inyectado esta sea igual a parte del contenido original la que incluye el contenido secreto que el atacante desea descubrir La tecnica division y conquista puede utilizarse entonces para averiguar el contenido secreto usando un numero relativamente pequeno de intentos los que seran un pequeno multiplo de los bytes secretos a ser recuperados 2 4 El exploit CRIME fue creado por los investigadores de seguridad Juliano Rizzo y Thai Duong quienes tambien crearon el exploit BEAST 1 El exploit fue revelado en detalle en la conferencia de seguridad informatica ekoparty 2012 5 Prevencion EditarCRIME puede ser vencido al prevenir el uso de compresion ya sea en el cliente o por el navegador deshabilitando la compresion de solicitudes HTTPS o por el sitio web previniendo el uso de compresion de datos en dichas transacciones usando la negociacion de protocolos de TLS cita requerida Vulnerabilidad Editar A septiembre de 2012 el exploit CRIME ha sido mitigado por las nuevas versiones de Chrome y Firefox y Microsoft ha confirmado que su navegador Internet Explorer no era vulnerable a dicho ataque 1 Algunos sitios han aplicado contramedidas por su parte tambien 6 El servidor web nginx no era vulnerable a Crime desde la version 1 0 9 1 1 6 octubre noviembre de 2011 utilizando OpenSSL 1 0 0 y desde 1 2 2 1 3 2 junio julio de 2012 utilizando cualquier version de OpenSSL 7 A diciembre de 2013 el exploit CRIME contra la compresion HTTP no se ha mitigado en absoluto Rizzo y Duong han advertido que esta vulnerabilidad podria estar aun mas extendida que la compresion SPDY y TLS combinadas BREACH Editar Articulo principal BREACH ataque En la conferencia Black Hat de agosto de 2013 los investigadores Gluck Harris y Prado anunciaron una instancia del CRIME exploit contra la compresion HTTP llamado BREACH abreviatura de Reconocimiento de Browser y exfiltracion mediante Compresion adaptable de hipertexto Esta destapa secretos HTTPS atacando la compresion de datos HTTP incorporada utilizado por los servidores web para reducir el trafico de red 8 Vease tambien EditarTransport Layer Security TLS Referencias Editar a b c Dan Goodin 13 de septiembre de 2012 Crack in Internet s foundation of trust allows HTTPS session hijacking Ars Technica Consultado el 13 de septiembre de 2012 a b Dennis Fisher 13 de septiembre de 2012 CRIME Attack Uses Compression Ratio of TLS Requests as Side Channel to Hijack Secure Sessions ThreatPost Archivado desde el original el 15 de septiembre de 2012 Consultado el 13 de septiembre de 2012 Kelsey J 2002 Compression and Information Leakage of Plaintext Fast Software Encryption Lecture Notes in Computer Science 2365 263 doi 10 1007 3 540 45661 9 21 CRIME How to beat the BEAST successor StackExchange com Consultado el 13 de septiembre de 2012 Juliano Rizzo Thai Duong The CRIME attack Ekoparty Consultado el 21 de septiembre de 2012 John Leyden 14 de septiembre de 2012 The perfect CRIME New HTTPS web hijack attack explained The Register Consultado el 16 de septiembre de 2012 Sysoev Igor 26 de septiembre de 2012 Nginx mailing list crime tls attack nginx org Consultado el 11 de julio de 2013 Goodin Dan 1 de agosto de 2013 Gone in 30 seconds New attack plucks secrets from HTTPS protected pages Datos Q3084134 Obtenido de https es wikipedia org w index php title CRIME amp oldid 138828873, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos