Новости

Зашифрованные секретные данные из потоков HTTPS можно извлечь за 30 секунд

06.08.2013
Зашифрованные секретные данные из потоков HTTPS можно извлечь за 30 секунд

02.08.2013 издание The Register опубликовало материал о новой технологии взлома конфиденциальной информации, получившей название Breach.

Эксперты Анджело Прадо (Angelo Prado), Нил Харрис (Neal Harris) и Йоэль Глак (Yoel Gluck) рассказали о Breach на конференции Black Hat. По их словам, этот инструмент позволяет извлекать символы логинов, числа идентификаторов сессий пользователей и другую конфиденциальную информацию из зашифрованного веб-трафика SSL/TLS.

Секретные данные, которые обеспечивают безопасность онлайн-банкинга и магазинов электронной торговли, можно извлечь из канала HTTPS за 30 секунд.

BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) нацеливается на алгоритм сжатия данных Deflate, который используется для экономии трафика в рамках веб-коммуникации. Эксплойт является усовершенствованной версией эксплойта CRIME, который также использует сжатие зашифрованных веб-запросов против пользователей.

Как утверждают эксперты, BREACH является угрозой для всех версий протоколов TLS/SSL вне зависимости от используемых алгоритмов шифрования.