Elkezdődött a BlackHat, és bár a politika idén talán kissé hangsúlyosabb a rendezvényen a szokásosnál, azért ebben az évben is megkapjuk a már jól megszokott TLS támadásunkat, melyet ezúttal BREACH névvel illetnek.

A módszer lényegében a CRIME újragondolása, vagy talán azt is lehetne mondani, hogy a CRIME egy eddig elhanyagolt alkalmazási lehetőségének kidomborítása:

Míg a CRIME a TLS tömörítési lehetőségét használja ki a HTTP kérések egyes részeinek megfejtésére, a BREACH a HTTP gzip kódolását használja a protokoll válaszüzeneteiben leküldött titkok megfejtésére.

A kutatást publikáló Gluck-Harris-Prado trió az Outlook Web Access-t használta a probléma demonstrálására. Ez a szoftver amellett, hogy igen elterjedt, CSRF tokeneket használ a beérkező kérések forrásának azonosítására, valamint megteszi azt a szívességet is, hogy a felhasználó által megadott URL paramétereket (megfelelő szűrés után) visszaírja a válaszba. 

Innentől kezdve a támadás lényegében megegyezik a CRIME-al: A támadó lehallgatja az áldozat TLS forgalmát, valamint ráveszi az áldozatot, hogy látogasson el egy általa kontrollált weboldalra. A támadó oldala ezek után kéréseket intéz a célpont kiszolgáló irányába, a lekért URL-be szúrva a CSRF token nevét (canary) valamint az első megtippelt byte-ot. Amennyiben a megtippelt byte értéke helyes volt, a válaszüzenet mérete az LZ77 tömörítésnek köszönhetően kisebb lesz, mint helytelen tipp esetén, így a canary értéke byte-onként kipörgethető, a titok ismeretében pedig a felhasználó (részben) megszemélyesíthetővé válik.

A gyakorlatban persze kevésbé egyszerű a dolog, a legnagyobb problémát a DEFLATE kódolás másik fele, a Huffman-kódolás okozza, ami könnyen elronthatja a mérési eredményeket (egy Huffman-kódolt helytelen tipp rövidebb kriptoszöveget eredményezhet, mint a helyes), de néhány ügyes trükkel ez a probléma is kiküszöbölhető.

Bár a most közzétett kutatási anyag igyekszik megoldásokat javasolni a problémára, ezek egyike sem tűnik olyan kézenfekvő gyógyítnek, mint a TLS tömörítés kikapcsolása volt a CRIME esetében, vagy a titkosító algoritmusok átpriorizálása a BEAST-nél (a módszer blokk- és folyamtitkosítók esetén is hatásos).

És bár a támadás viszonylag erős támadói modellt feltételez, mostanában a Rizzo-Duong páros által felvetett, állami kihasználás egyre valósabb problémának tűnik a nyugati államokban is, ezért a legjobb, ha meghallgatjuk Keith Alexander tábornok előadását, aki majd jól megnyugtat mindenkit :)