CRIME
CRIME (ראשי תיבות של: Compression Ratio Info-leak Made Easy) היא התקפת סייבר המנצלת פרצת אבטחה בעוגיות מאובטחות הנשלחות בפרוטוקולים HTTPS ו-SPDY, המשתמשים בדחיסת מידע.
בתקיפה זה מנסה התוקף להשיג קובצי עוגיה המכילים מידע של אימות זהות סודיות. בעת ביצוע אחזור תוכנן של עוגיות הזהות הסודיות, באפשרותו של התוקף לבצע חטיפת שיחה על שרת אינטרנט מאובטח ויכולת לבצע התקפות נוספות.
פרוטוקול TLS 1.2 מצפין נתונים דחוסים מבלי לעכב את הנתונים הלא מוצפנים ובכך יכול התוקף לראות את גודל ההצפנה שנשלחה על ידי דפדפן האינטרנט ובאותו הזמן לגרום לו לשלוח בקשות מרובות אל אתר היעד. בשלב הבא יגלה התוקף את השינוי בגודל המטען הדחוס של הבקשה המכילה את קובץ העוגיה שנשלחה על ידי דפדפן האינטרנט רק אל אתר היעד, כאשר את התוכן ישנה התוקף על פי צרכיו. במידה והגודל מופחת הוא יוכל לגלות אם התוכן שהוזרק תואם למקור ומכיל את התוכן הסודי שחיפש.
התקפה זו יעילה נגד מספר גדול של פרוטוקולים: SPDY (דוחס את כותרת הבקשות), TLS (דוחס רשומות) ו- HTTP (דוחס תגובות).
דרכי מניעה
ניתן למנוע התקפה זו באמצעות מספר דרכים:
- הפסקת השימוש בדחיסת נתונים.
- השבתת דחיסת בקשות SPDY בדפדפן.
- הלקוח יבחר את שיטת הדחיסה הרצויה והשרת יבחר רק שיטת דחיסה שהלקוח הציע, כך שאם הלקוח יציע 'none' (ללא דחיסה), הנתונים לא יידחסו.
החל מספטמבר 2012, חברות שונות ומפתחי אתרים החלו ליישם מדיניות הגנה כנגד דחיסת נתונים בפרוטוקלים SPDY ו-TLS ובגרסאות האחרונות של דפדפני האינטרנט וכמו כן גם שרת האינטרנט NGINX (גרסה 1.0.9 ומעלה), OpenSSL (גרסה 1.2.2 ומעלה) לא היו פגיעות להתקפה זו.
קישורים חיצוניים
- מידע על התקפת Crime, מספר פגיעות CVE-2012-4929, באתר cve.mitre.org (אנגלית)
- מידע על התקפת Crime, מספר פגיעות CVE-2012-4929, באתר nvd.nist.gov (אנגלית)
- מידע על התקפת Crime, באתר Microsoft Social TechNet (אנגלית)
- מידע על הפגיעות, באתר Rapid7 (אנגלית)
23552230CRIME