CRIME
CRIME (ראשי תיבות של: Compression Ratio Info-leak Made Easy) היא התקפת סייבר המנצלת פרצת אבטחה בעוגיות מאובטחות הנשלחות בפרוטוקולים HTTPS ו-SPDY, המשתמשים בדחיסת מידע.
בתקיפה זה מנסה התוקף להשיג קובצי עוגייה המכילים מידע של אימות זהות סודיות. בעת ביצוע אחזור תוכנן של עוגיות הזהות הסודיות, באפשרותו של התוקף לבצע חטיפת שיחה על שרת אינטרנט מאובטח ויכולת לבצע התקפות נוספות.
פרוטוקול TLS 1.2 מצפין נתונים דחוסים מבלי לעכב את הנתונים הלא מוצפנים ובכך יכול התוקף לראות את גודל ההצפנה שנשלחה על ידי דפדפן האינטרנט ובאותו הזמן לגרום לו לשלוח בקשות מרובות אל אתר היעד. בשלב הבא יגלה התוקף את השינוי בגודל המטען הדחוס של הבקשה המכילה את קובץ העוגייה שנשלחה על ידי דפדפן האינטרנט רק אל אתר היעד, כאשר את התוכן ישנה התוקף על פי צרכיו. במידה והגודל מופחת הוא יוכל לגלות אם התוכן שהוזרק תואם למקור ומכיל את התוכן הסודי שחיפש.
התקפה זו יעילה נגד מספר גדול של פרוטוקולים: SPDY (דוחס את כותרת הבקשות), TLS (דוחס רשומות) ו-HTTP (דוחס תגובות).
דרכי מניעה[עריכת קוד מקור | עריכה]
ניתן למנוע התקפה זו באמצעות מספר דרכים:
- הפסקת השימוש בדחיסת נתונים.
- השבתת דחיסת בקשות SPDY בדפדפן.
- הלקוח יבחר את שיטת הדחיסה הרצויה והשרת יבחר רק שיטת דחיסה שהלקוח הציע, כך שאם הלקוח יציע 'none' (ללא דחיסה), הנתונים לא יידחסו.
החל מספטמבר 2012, חברות שונות ומפתחי אתרים החלו ליישם מדיניות הגנה כנגד דחיסת נתונים בפרוטוקולים SPDY ו-TLS ובגרסאות האחרונות של דפדפני האינטרנט וכמו כן גם שרת האינטרנט nginx (גרסה 1.0.9 ומעלה), OpenSSL (גרסה 1.2.2 ומעלה) לא היו פגיעות להתקפה זו.
קישורים חיצוניים[עריכת קוד מקור | עריכה]
- מידע על התקפת Crime, מספר פגיעות CVE-2012-4929, באתר cve.mitre.org (באנגלית)
- מידע על התקפת Crime, מספר פגיעות CVE-2012-4929, באתר nvd.nist.gov (באנגלית)
- מידע על התקפת Crime, באתר Microsoft Social TechNet (באנגלית)
- מידע על הפגיעות, באתר Rapid7 (באנגלית)