El BREACH, un nuevo ataque en las páginas HTTPS
(Estados Unidos) En el marco de la conferencia Black Hat 2013, los investigadores Angelo Prado, Neal Harris y Yoel Gluck, mostraron la técnica BREACH. Este modo de ataque descubierto permite decodificar páginas protegidas por SSL y TLS, extrayendo partes concretas de datos, tales como números de seguro social; direcciones de email; tokens de seguridad y enlaces para restablecer la contraseña.
Según los investigadores funciona en todas las versiones de TLS y SSL, y es independiente del algoritmo de cifrado que se utilice. Asimismo, el enlace malicioso hace que el sistema de la víctima haga peticiones al servidor HTTPS objetivo; mediante la cual estas solicitudes se utilizan luego para hacer conjeturas de sondeo.
"No desciframos el canal completo, sólo extraemos el secreto que nos importa", aclaró el investigador Yoel Gluck. Este ataque trabaja sobre la compresión de los datos; y se basa en el algoritmo Deflate de Huffman. Asimismo, la compresión HTTP funciona mediante la eliminación de repeticiones en cadenas de texto.
El BREACH comienza tratando de adivinar caracteres con una respuesta cifrada, mediante la comparación de la longitud en bytes, contra la respuesta original. Cuando la conjetura contiene la combinación parecida de caracteres en la respuesta original, el resultado es más pequeño que los producidos por suposiciones incorrectas.
Según los investigadores, debido a la compresión deflate almacena las cadenas repetitivas sin aumentar significativamente el tamaño de la carga útil, los aciertos resultarán en mensajes cifrados más pequeños que los que se producen por suposiciones incorrectas.
Además, la técnica se puede utilizar para extraer otros tipos de texto cifrado incluidos en las respuestas web. Si bien el ataque comienza con un engaño hacia la víctima, según los investigadores no hay una manera fácil de mitigar BREACH y el daño que puede causar.
