早在斯诺登曝光美国国家安全局破坏加密活动之前,研究人员就对加密技术进行了严格的分析。在2012年ekoparty安全会议上,Thai Duong和Juliano Rizzo讨论了名为CRIME的攻击,该攻击并没有明显影响安全套接层/传输层安全(SSL/TLS)的安全性。在2013年黑帽大会上,Yoel Gluck、Neal Harris和Angelo Prado继续研究SSL/TLS加密技术,他们揭示了新的威胁—通过自适应超文本压缩的浏览器勘测与渗透(或者被称为BREACH攻击),该攻击对SSL/TLS的影响比CRIME更为深远。
在这篇文章中,我们将谈论什么是BREACH攻击,它的工作原理,以及企业应该采取哪些步骤来降低这种攻击风险。
BREACH攻击工作原理
为了破解加密,BREACH攻击瞄准了HTTPS表头压缩,这种压缩对很多企业来说很关键,因为它最大限度地减少了带宽成本,并加快提高了网页加载速度。
BREACH通过结合现有的两种攻击类型来窃取关于数据如何通过HTTPS Web应用加密的信息,这两种攻击类型是:利用跨站请求伪造(CSRF)来改变传输中的数据,以及利用中间人攻击注入数据到HTTPS表头。根据注入数据,对这些请求变更的响应允许攻击者确定用于加密会话的字节信息,然后这些信息可以用于对数据进行解密。
面对这些攻击,静态网站属于低风险,而全功能的web应用则非常容易受到攻击,因为它们被设计为接受来自web客户端的输入,使得它更容易衡量web应用提供的网页中的变化,并最终解密连接。虽然这种攻击技术在服务器端的实际影响是微乎其微的,但在客户端,企业必须即时更新来防止中间人攻击。幸运的是,这种攻击可能无法破解使用SSL/TLS用于传输层加密(例如SSL-SMTP或者IMAPS)的其他协议。
企业可以用来降低攻击风险的步骤
我们有很多资源可以用于缓解BREACH攻击。Qualys公司应用安全研究主管Ivan Ristic写了一篇博客探讨潜在的抵御措施。Carnegie Mellon CERT在其漏洞报告中列出了潜在的缓解方案。一份互联网工程任务组(IETF)草案中也建议改善TLS来抵御这种攻击。
然而,这些战略都不能完全消除这个问题;正如Ristic所提到的,抵御这个攻击需要浏览器端的改进。虽然BREACH对企业的影响很小,但全面的分析客户帮助确定网站是否容易受到BREACH攻击或者对SSL/TLS的其他攻击。
企业可以采取不同的措施来缓解BREACH攻击,不过,需要注意的是,虽然这些战略很有效,但这些战略可能对业务带来负面影响。例如,禁用表头压缩将极大地降低BREACH攻击的风险,但这会对高流量企业网站有着显著的带宽影响。
幸运的是,我们还可以利用其他措施,包括以下:
为了保护内部客户端的安全性,使用IPsec虚拟专用网络(VPN)来阻止中间人攻击,(IPsec还可以帮助保护易受攻击的SSL VPN)
利用入侵防御或入侵检测系统(IPS/IDS)来识别试图利用漏洞的恶意客户端,并发出警报或阻止攻击系统。
另外,web应用防火墙或者具有web检测功能的防火墙可以识别恶意客户端并阻止它们。
漏洞扫描仪或者web应用安全工具可以找出潜在的易受攻击的需要更新的web应用。
Web代理服务器或者web服务器中的配置更改可以阻止客户端系统试图在30秒内发起超过设定的连接数。由于BREACH攻击需要大量连接数,控制这一点可以防止漏洞被利用。
结论
SSL/TLS协议已经经受了严格的审查,仍然被认为是保护公共网络数据传输的最有效的机制之一。
虽然有些使用这些协议的方法很不安全,但只有正确部署SSL/TLS,它都能够提供高水平的传输安全。
企业可以而且应该依赖于使用SSL/TLS的HTTPS来保护web流量的传输。虽然HTTPS仍容易受到中间人攻击,但信息安全方面和加密协议的改进正在帮助企业抵御这些攻击。
BREACH攻击可能需要迅速采取行动来尽量减少风险,但从长远来看,这不应该阻止企业对数据传输使用加密。加密具有诸多好处,即使加密面临这个特定攻击的风险,但仍然是利大于弊。