Los investigadores de seguridad informática Dimitris Karakostas y Dionysis Zindros han actualizado el ataque cibernético denominado BREACH.
La versión anterior de BREACH fue presentada durante la conferencia Black Hat en 2013, y consistía de un ataque contra algoritmos de compresión del flujo de datos por la web. En particular, BREACH vulnera el cifrado AES.
En la reciente conferencia Black Hat Asia, ambos expertos demostraron la forma en que el tráfico “seguro” proveniente de populares servicios online puede ser intervenido, haciendo posible extraer datos de los usuarios, a pesar de los continuos esfuerzos por solucionar esta vulnerabilidad, que ya tiene una data de tres años.
Versión más avanzada de “CRIME”
La versión anterior de BREACH consistía de una ampliación de “CRIME” (acrónimo de Compression Ratio Info-leak Made Easy), ataque que revertía la compresión de llamadas web dirigidas desde el servidor hacia los usuarios. Karakostas y Zindros, ambos adscritos a universidades de Atenas, Grecia, describen detalladamente su trabajo en su White Paper “Practical New Developments on BREACH” ( documento PDF de 12 páginas). en el documento, los investigadores demuestran como el ataque puede ser utilizado para leer mensajes de Gmail y Facebook. Tanto Facebook como Gmail utilizan AES.
Los investigadores precisan que Facebook ha lanzado un mecanismo que específicamente previene la ejecución del ataque BREACH. A pesar de ello, indican que la versión móvil Touch, que hace posible la realización de búsquedas mediante GET, expone en la URL de la búsqueda algunos datos que pueden ser utilizados para leer mensajes.
Según los investigadores, el método en sí no es fácil, y pueden pasar semanas antes de obtenerse los resultados deseados. Entre otras cosas, es necesario identificar el endpoint exacto que se busca intervenir, su funcionamiento, la forma en que comprime los datos, y detectar las interferencias necesarios para su ejecución.
Rupture
La denominación “Rupture” consiste de la sistematización de vulnerabilidades que hacen posible este tipo de ataques. “Rupture es una implementación de nuestras ideas; es nuestra técnica de optimización y nuestro análisis estadístico del material. No es una prueba de concepto; ya puede ser ejecutada en sistemas reales. Nuestro inyector de código instala código en todas las respuestas HTTP no autenticadas, recibidas por la víctima. El código JavaScript es posteriormente ejecutado por el navegador de la víctima”.
En el siguiente vídeo, se muestra Rupture en acción.
