Авторы эксплойта BREACH выпустили программу для пентестинга, с помощью которой каждый веб-мастер может проверить свой сайт на предмет слабости HTTPS. Инструмент доступен в виде исходного кода с инструкциями, а также как скомпилированный бинарник.
«Программа предназначена только для оценки своего сайта, — сказано в описании на официальном сайте. — Не делайте плохого!».
Для запуска утилиты требуется компьютер под Windows или виртуальная машина. Для модификации кода — фреймворк .NET 3.5 и Visual Studio 2010. Программу проверяли под Windows 7.
Напомним, что атака BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext, то есть браузерное зондирование и эксфильтрация через адаптивную компрессию гипертекста) относится к типу атак с оракулом, когда по длине шифровки мы можем догадаться о ее содержимом. Метод позволяет извлекать пароли и другую ценную информацию из HTTPS-трафика, сжатого архиватором DEFLATE перед шифрованием. Атакующий «тестирует» цель тысячами входных значений, которые должны попасть в заархивированный и зашифрованный трафик, вместе с секретной информацией.
Перед такой атакой уязвимы все сайты, которые используют SSL/TLS шифрование с предварительным сжатием трафика и при этом позволяют отправлять на сайт пользовательские запросы произвольного содержания (например, поисковые запросы). Необходимым условием является также возможность заманить жертву на сайт, который контролируется атакующим, в тот момент, когда у жертвы открыта HTTPS-сессия с сайтом, который мы «тестируем». Естественно, нужна еще и возможность перехватывать зашифрованный трафик пользователя.
BREACH присоединяется к числу предыдущих методов взлома SSL/TLS, таких как Lucky 13, BEAST и CRIME.
