Latest posts for the topic "Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS"

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

manthang — GMT

Hai nhà nghiên cứu về an toàn thông tin là Juliano Rizzo và Dương Ngọc Thái (thaidn) đang chuẩn bị để trình bày tại hội thảo Ekoparty ở Argentina vào cuối tháng này một kiểu tấn công mới có tên là CRIME nhằm vào SSL/TLS. Đây cũng là nhóm tác giả của BEAST, một kiểu tấn công nữa chống lại SSL/TLS được công bố vào cuối năm ngoái. CRIME khai thác điểm yếu có trong một tính năng của TLS 1.0 nhưng thông tin về tính năng này hiện chưa được tiết lộ. Họ nói rằng tất cả các phiên bản của SSL/TLS – bao gồm cả TLS 1.2 đều chịu ảnh hưởng. Một khi nằm giữa kết nối của người dùng tới máy chủ Web thì họ có thể tóm các lưu lượng HTTPS được trao đổi và thực hiện giải mã cookie để chiếm phiên làm việc của người dùng. Cách mà họ chọn để có thể nằm tại vị trí chắn giữa này là nạp và thực thi đoạn mã JavaScript trong trình duyệt Web của người dùng nhưng không nhất thiết phải là JavaScript hay bất cứ plug-in nào khác vì họ nói có thể dùng mã HTML tĩnh để làm chuyện này. Một biện pháp để khắc chế BEAST là đổi cipher suite (dùng RC4 thay cho AES) nhưng điều này không có tác dụng đối với CRIME. Các tác giả còn nói thêm rằng tính năng trong SSL/TLS mà CRIME đang khai thác chưa phải là chủ đề chính của các nghiên cứu bảo mật trong quá khứ: “Rủi ro khi triển khai tính năng này đã được thảo luận trước đây. Tuy nhiên, chúng tôi không tìm thấy bất kỳ nghiên cứu nào chỉ ra một kiểu tấn công khả dĩ hay những cố gắng để khắc phục điểm yếu này từ những người phát triển các giao thức bảo mật”, Rizzo nói. Hiện tại, cả Firefox và Chrome đều là các trình duyệt Web chịu ảnh hưởng bởi tấn công CRIME nhưng theo các nhà nghiên cứu thì trong một vài tuần tới Mozilla và Google sẽ cung cấp các bản vá tới người dùng để khắc phục vấn đề này. manthang – HVA News Tham khảo: [1] http://www.h-online.com/security/news/item/BEAST-creators-develop-new-SSL-attack-1702136.html [2] http://threatpost.com/en_us/blogs/new-attack-uses-ssltls-information-leak-hijack-https-sessions-090512

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

phanledaivuong — GMT

Đúng là ad mrro tuổi trẻ tài cao thật :D.

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

manthang — GMT

Chúc mừng anh mrro và đồng nghiệp Rizzo, em thắc mắc không biết CRIME là viết tắt của cụm từ nào nhỉ?

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

rindaman — GMT

2 anh đặt tên ấn tượng và dễ nhớ thật , cái đầu là BEAST , cái thứ 2 là CRIME BEAST = Browser Exploit Against SSL/TLS , cái thứ 2 thì mọi người thử đoán tên xem sao ( google không tìm ra tên đầy đủ )

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

howtogeek16 — GMT

Chúc anh mrro trình bày thành công trong hội thảo Ekoparty.

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

bolzano_1989 — GMT

Lần này thì CRIME Attack chắc chắn sẽ là một trong những lí do chính để bà con đến với TetCon 2013 :D . Full Disclosure: ekoparty Security Conference and Trainings - 8th edition http://seclists.org/fulldisclosure/2012/Sep/30

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

mrro — GMT

Cảm ơn các bạn đã ủng hộ. Sau ekoparty, tôi sẽ mời Juliano đến TetCon 2013 để trình bày về CRIME. -m

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

Ikut3 — GMT

Đã có thêm thông tin về CRIME tại http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/ http://www.youtube.com/embed/gGPhHYyg9r4?start=0&wmode=transparent

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

Nowhereman — GMT

1) Chúc mừng tác giả mrro. 2) Võ đoán CRIME = ( Critical R... I ... M...Exploitation ) :)

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

chube — GMT

Compression Ratio In the Midle Exploits :| !

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

Nowhereman — GMT

chube wrote:

Compression Ratio In the Midle Exploits :| !

bravo chube : 100% chuẩn ! ai đọc cái link này thì chắc hẳn sẽ biết CRIME là " Compression Ratio In the Middle Exploits " :|. bác mrro nhà ta ngâm cứu món Cryptography này kỹ lưỡng ghê ghớm. tôi nhớ có lần đọc bài giới thiệu về Crypto của anh trên blog cá nhân rất hay. chẳng có gì là mơ mộng khi nghĩ rằng một ngày nào đó bác mrro sẽ làm vẻ vang tổ quốc khi ghi danh là người việt nam đầu tiên sáng tác ra một Protocol bảo mật an toan mới cho cả "trái đất" dùng. xin chúc anh làm được điều đó . Bravo Bravo -:|-

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

mrductu — GMT

thế này nguy hiểm nhỉ

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

tranhuuphuoc — GMT

Short for Compression Ratio Info-leak Made Easy

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

gamma95 — GMT

mấy ông nội này troll quá :D

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

TiểuMai — GMT

Em đang tính thuyết trình về một vấn đề an toàn bảo mật, hay dùng đề tài này nhỉ, nhưng có vẻ không có tài liệu thực sự sâu :)

Tác giả của BEAST phát triển kiểu tấn công mới chống lại SSL/TLS

Nowhereman — GMT

TiểuMai wrote:

Em đang tính thuyết trình về một vấn đề an toàn bảo mật, hay dùng đề tài này nhỉ, nhưng có vẻ không có tài liệu thực sự sâu :)

@ Tiểu Mai : 1 ) nếu bạn định thuyết trình về "một vấn đề an toàn bảo mật " mà " dùng đề tài này " được thì là rất chuẩn và rất "hot" . 2 ) " nhưng có vẻ không có tài liệu thực sự sâu " cầu này của bạn hoàn toàn sai vì : tài liệu trên mênh mông mạng nhiều như nước trong đại dương. vấn đề chính ở đây là trình độ của bạn về "đề tài" này đã "sâu" tới đâu? sâu tới đại dương hay sâu ngang như anh Thái dương ( Dương Thai ) hay chưa ? bạn phải thực sự sâu xa về các tầng cấu trúc mạng, các giao thức mạng, tại sao ? như thế nào ? các giao thức được cho là an toàn như ssl/tls ? và sâu hơn cả những cái đó thì mới bắt được " cá " ( ý là mới phát hiện ra, tìm ra nhờ những thực nghiệm và chiêm nghiệm ) => thì bạn hãy nên " Thuyết trình " đề tài này :) . @ gammar : bác à thi thoảng cùng nhau troll cũng release được tí sờtret' khà khà :D . một vài ý kiến. bless you all .