Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thông tin new bugs và exploits

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	09/09/2012 15:47:56 (+0700) \| #1 \| 269226

manthang
Journalist

Joined: 30/06/2008 16:36:58
Messages: 140
Offline

Hai nhà nghiên cứu về an toàn thông tin là Juliano Rizzo và Dương Ngọc Thái (thaidn) đang chuẩn bị để trình bày tại hội thảo Ekoparty ở Argentina vào cuối tháng này một kiểu tấn công mới có tên là CRIME nhằm vào SSL/TLS. Đây cũng là nhóm tác giả của BEAST, một kiểu tấn công nữa chống lại SSL/TLS được công bố vào cuối năm ngoái.

CRIME khai thác điểm yếu có trong một tính năng của TLS 1.0 nhưng thông tin về tính năng này hiện chưa được tiết lộ. Họ nói rằng tất cả các phiên bản của SSL/TLS – bao gồm cả TLS 1.2 đều chịu ảnh hưởng. Một khi nằm giữa kết nối của người dùng tới máy chủ Web thì họ có thể tóm các lưu lượng HTTPS được trao đổi và thực hiện giải mã cookie để chiếm phiên làm việc của người dùng. Cách mà họ chọn để có thể nằm tại vị trí chắn giữa này là nạp và thực thi đoạn mã JavaScript trong trình duyệt Web của người dùng nhưng không nhất thiết phải là JavaScript hay bất cứ plug-in nào khác vì họ nói có thể dùng mã HTML tĩnh để làm chuyện này.

Một biện pháp để khắc chế BEAST là đổi cipher suite (dùng RC4 thay cho AES) nhưng điều này không có tác dụng đối với CRIME. Các tác giả còn nói thêm rằng tính năng trong SSL/TLS mà CRIME đang khai thác chưa phải là chủ đề chính của các nghiên cứu bảo mật trong quá khứ: “Rủi ro khi triển khai tính năng này đã được thảo luận trước đây. Tuy nhiên, chúng tôi không tìm thấy bất kỳ nghiên cứu nào chỉ ra một kiểu tấn công khả dĩ hay những cố gắng để khắc phục điểm yếu này từ những người phát triển các giao thức bảo mật”, Rizzo nói.

Hiện tại, cả Firefox và Chrome đều là các trình duyệt Web chịu ảnh hưởng bởi tấn công CRIME nhưng theo các nhà nghiên cứu thì trong một vài tuần tới Mozilla và Google sẽ cung cấp các bản vá tới người dùng để khắc phục vấn đề này.

manthang – HVA News

Tham khảo:
[1] http://www.h-online.com/security/news/item/BEAST-creators-develop-new-SSL-attack-1702136.html
[2] http://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512

keep -security- in -mind-

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	09/09/2012 18:00:15 (+0700) \| #2 \| 269231

phanledaivuong
Member

Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline

Đúng là ad mrro tuổi trẻ tài cao thật smilie

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	09/09/2012 19:06:24 (+0700) \| #3 \| 269235

manthang
Journalist

Joined: 30/06/2008 16:36:58
Messages: 140
Offline

Chúc mừng anh mrro và đồng nghiệp Rizzo, em thắc mắc không biết CRIME là viết tắt của cụm từ nào nhỉ?

keep -security- in -mind-

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	09/09/2012 19:30:49 (+0700) \| #4 \| 269237

rindaman
Member

Joined: 18/08/2012 09:33:29
Messages: 6
Offline

2 anh đặt tên ấn tượng và dễ nhớ thật , cái đầu là BEAST , cái thứ 2 là CRIME
BEAST = Browser Exploit Against SSL/TLS , cái thứ 2 thì mọi người thử đoán tên xem sao ( google không tìm ra tên đầy đủ )

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	09/09/2012 20:50:21 (+0700) \| #5 \| 269242

howtogeek16
Member

Joined: 07/09/2012 09:07:12
Messages: 60
Location: .@guest#
Offline

Chúc anh mrro trình bày thành công trong hội thảo Ekoparty.

Respect for self , respect for others and responsiblity for your actions.

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	09/09/2012 22:42:47 (+0700) \| #6 \| 269245

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

Lần này thì CRIME Attack chắc chắn sẽ là một trong những lí do chính để bà con đến với TetCon 2013 smilie

.

Full Disclosure: ekoparty Security Conference and Trainings - 8th edition
http://seclists.org/fulldisclosure/2012/Sep/30

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	10/09/2012 06:50:48 (+0700) \| #7 \| 269253

mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline

Cảm ơn các bạn đã ủng hộ. Sau ekoparty, tôi sẽ mời Juliano đến TetCon 2013 để trình bày về CRIME.

-m

http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	13/09/2012 18:17:05 (+0700) \| #8 \| 269366

Ikut3
Elite Member

Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline

Đã có thêm thông tin về CRIME tại

http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/
http://www.youtube.com/embed/gGPhHYyg9r4?start=0&wmode=transparent

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	16/09/2012 20:46:58 (+0700) \| #9 \| 269432

Nowhereman
Elite Member

Joined: 19/11/2003 06:25:42
Messages: 108
Offline

1) Chúc mừng tác giả mrro.
2) Võ đoán CRIME = ( Critical R... I ... M...Exploitation ) smilie

lang thang vẫn mãi không nhà
đôi chân lê bước thê lương tháng ngày
càng đi càng thấy đắm say
tình thương con Chúa lòng này chẳng phai
thời gian cứ mãi miệt mài
lang thang đi tiếp ....rồi bay lên z ời
cúi đầu con lạy Ông Trời
xin thươn

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	16/09/2012 23:08:39 (+0700) \| #10 \| 269435

chube
Member

Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline

Compression Ratio In the Midle Exploits smilie

.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	17/09/2012 20:02:14 (+0700) \| #11 \| 269455

Nowhereman
Elite Member

Joined: 19/11/2003 06:25:42
Messages: 108
Offline

chube wrote:

Compression Ratio In the Midle Exploits !

bravo chube : 100% chuẩn ! ai đọc cái link này thì chắc hẳn sẽ biết CRIME là " Compression Ratio In the Middle Exploits " smilie

. bác mrro nhà ta ngâm cứu món Cryptography này kỹ lưỡng ghê ghớm. tôi nhớ có lần đọc bài giới thiệu về Crypto của anh trên blog cá nhân rất hay. chẳng có gì là mơ mộng khi nghĩ rằng một ngày nào đó bác mrro sẽ làm vẻ vang tổ quốc khi ghi danh là người việt nam đầu tiên sáng tác ra một Protocol bảo mật an toan mới cho cả "trái đất" dùng. xin chúc anh làm được điều đó . Bravo Bravo smilie

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	17/09/2012 21:05:09 (+0700) \| #12 \| 269459

mrductu
Member

Joined: 26/02/2011 23:28:57
Messages: 2
Offline

thế này nguy hiểm nhỉ

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	18/09/2012 15:06:05 (+0700) \| #13 \| 269478

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Short for Compression Ratio Info-leak Made Easy

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	18/09/2012 16:20:43 (+0700) \| #14 \| 269480

gamma95
Researcher

Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline

mấy ông nội này troll quá smilie

Cánh chym không mỏi
lol

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	18/09/2012 21:30:48 (+0700) \| #15 \| 269487

TiểuMai
Member

Joined: 13/09/2012 04:44:41
Messages: 5
Offline

Em đang tính thuyết trình về một vấn đề an toàn bảo mật, hay dùng đề tài này nhỉ, nhưng có vẻ không có tài liệu thực sự sâu smilie

[News] Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS	18/09/2012 21:46:24 (+0700) \| #16 \| 269488

Nowhereman
Elite Member

Joined: 19/11/2003 06:25:42
Messages: 108
Offline

TiểuMai wrote:

Em đang tính thuyết trình về một vấn đề an toàn bảo mật, hay dùng đề tài này nhỉ, nhưng có vẻ không có tài liệu thực sự sâu

@ Tiểu Mai :

1 ) nếu bạn định thuyết trình về "một vấn đề an toàn bảo mật " mà " dùng đề tài này " được thì là rất chuẩn và rất "hot" .

2 ) " nhưng có vẻ không có tài liệu thực sự sâu " cầu này của bạn hoàn toàn sai vì : tài liệu trên mênh mông mạng nhiều như nước trong đại dương. vấn đề chính ở đây là trình độ của bạn về "đề tài" này đã "sâu" tới đâu? sâu tới đại dương hay sâu ngang như anh Thái dương ( Dương Thai ) hay chưa ? bạn phải thực sự sâu xa về các tầng cấu trúc mạng, các giao thức mạng, tại sao ? như thế nào ? các giao thức được cho là an toàn như ssl/tls ? và sâu hơn cả những cái đó thì mới bắt được " cá " ( ý là mới phát hiện ra, tìm ra nhờ những thực nghiệm và chiêm nghiệm ) => thì bạn hãy nên " Thuyết trình " đề tài này smilie

.

@ gammar : bác à thi thoảng cùng nhau troll cũng release được tí sờtret' khà khà smilie

.

một vài ý kiến. bless you all .

Go to:

Users currently in here
1 Anonymous