Rupture: framework que permite realizar ataques a SSL/TLS más rápido

Los investigadores de seguridad informática Dimitris Karakostas y Dionysis Zindros han actualizado BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext), presentado en la conferencia Black Hat 2013 y que consistía de un ataque contra el algoritmo de compresión del flujo de datos en el cifrado AES.

En la reciente conferencia Black Hat Asia, ambos expertos demostraron la forma en que el tráfico "seguro" proveniente de populares servicios online puede ser intervenido, haciendo posible extraer datos de los usuarios, a pesar de los continuos esfuerzos por solucionar esta vulnerabilidad, que ya tiene una data de tres años.

La versión anterior de BREACH consistía de una ampliación de "CRIME" (Compression Ratio Info-leak Made Easy), ataque que revertía la compresión de llamadas web dirigidas desde el servidor hacia los usuarios. Karakostas y Zindros, ambos adscritos a universidad de Atenas, Grecia, describen detalladamente su trabajo en su White Paper "Practical New Developments on BREACH" [PDF].

En el documento, los investigadores demuestran cómo el ataque puede ser utilizado para leer mensajes de Gmail y Facebook, los cuales que utilizan AES. Los investigadores precisan que Facebook tiene un mecanismo que específicamente previene la ejecución del ataque BREACH pero a pesar de ello, indican que la versión móvil, que hace posible la realización de búsquedas mediante GET, expone en la URL de la búsqueda algunos datos que pueden ser utilizados para leer mensajes.

Además han publicado el audio audio y las slides de su reciente presentación.

Según los investigadores, el método en sí no es fácil, y pueden pasar semanas antes de obtenerse los resultados deseados. Entre otras cosas, es necesario identificar el end-point exacto que se busca intervenir, su funcionamiento, la forma en que comprime los datos, y detectar las interferencias  necesarios para su ejecución.

RUTPURE consiste en un framework open source que permite la sistematización de este tipo de ataques y cuto código se puede descargar desde GitHub.
"Rupture es una implementación de nuestras ideas; es nuestra técnica de optimización y nuestro análisis estadístico del material. No es una prueba de concepto; ya puede ser ejecutada en sistemas reales. Nuestro inyector de código instala código en todas las respuestas HTTP no autenticadas, recibidas por la víctima. El código JavaScript es posteriormente ejecutado por el navegador de la víctima".

El framework también está siendo desarrollado para explotar la vulnerabilidad POODLE.

Fuente: The Register