Mike Belshe「SPDYの圧縮方式と攻撃ツールCRIMEの件」

2012.9.14 ietf-http-wgへのポスト

SPDY compression and CRIME attack from Mike Belshe on 2012-09-14 (ietf-http-wg@w3.org from July to September 2012)

2011年にSSL/TSLの脆弱性を突いた攻撃ツールをリリースしたJuliano RizzoとThai Duongのコンビ
- セッションハイジャックツールBEAST
- TLS1.0/SSL3.0で採用されてるAESを使ったcipher suiteの脆弱性を突く
- BEASTリリースの反響。TLS1.2へのアップグレード。cipher suiteはRC4へ移行、などなど
RizzoとDuongのコンビが新作ツールCRIMEをリリース
- Buenos Aires開催予定のEkoparty security conferenceでお披露目予定
  - ekoparty Security Conference
- SSL/TSL全てのver.に対して有効な攻撃手法。SPDYも当然有効に
- オプションの圧縮をオンにしてるSSL通信とSPDY通信が対象になる
- RizzoとDuongはyoutubeにデモ動画UPしてる
- CRIME vs startups - YouTube
- 「githubやdropboxもこんな風にセッションハイジャックできますよ」とやってる
- github/dropbox側の対応（＝サーバー側でSSL圧縮をオフにした）後に動画は公開されてる

以下斜め読んだ内容

CRIMEの件
- ssl - CRIME - How to beat the BEAST successor? - IT Security
  - セキュリティ版stackoverflow？という感じのサイトのスレッド
  - 出回ってる情報から手法を推定していってるやり取りが面白い
  - 圧縮・暗号化されたblobの中身は当然わからないが、blobの長さは把握できる
  - RC4使ってればblogの粒度もわかる。ダミーで「「Cookie: secret=0」とか「「Cookie: secret=1」とか仕込んでいって、圧縮率の変化を見ていけば、正解がわかる
  - 「Cookie: secret=」をスタートに後半を１文字ずつ推定していって「Cookie: secret=7xc89f+94/wa」を突き止める手法を解説してる
という状況を踏まえて、spdyの中の人としてmikeは手短なサマリーをMLにポストしてる
- 'CRIME' Attack Abuses SSL/TLS Data Compression Feature to Hijack HTTPS Sessions CIO.com
Fx/Chromeはパッチ適用済
- 最新版を使うユーザは脆弱性を気にしないで使える
Fx/Chromeへのパッチの難点
- SPDYヘッダの圧縮率が低下してしまった
厳密なパフォーマンスの比較はやってないが
http/2.0では現行のspdyとは異なる圧縮ライブラリを使ってもらいたい
とはいえ開発コミュニティには影響それほどない
前々から圧縮ライブラリの変更は色々な理由で要望されてた話なので
今回の問題をざっくりと
- cookieのようなセンシティブなデータに使う圧縮方式と、クエリー文字列のようなユーザのコントール目的で使うデータの圧縮方式が同じである条件で有効な攻撃
- この攻撃手法を使うとSSL通信を使っててもクッキーの中身をリバース・エンジニアリングできてしまう
- 攻撃者がクリアすべき要件は２つ
- ターゲットのパケットを読むことができること
- 攻撃の仕込みのために、ターゲットを攻撃者が用意したサイトへ誘導できること
次期圧縮方式についてはCRIME以前からエンジニアたちが取り組んでる
- 今回のCRIMEによる攻撃が効かないものもある
- 一例としてRobert Peonの実装
  - - SPDY-Specification/example_code at gh-pages · grmocg/SPDY-Specification
  - 彼の実装はSPDY/4へ搭載を目指した次期圧縮方式
  - Robertの仕事はCRIMEとは独立して進められたもの
  - Robertによる実装はリリースできるところまで開発が進んでないが、色々と優れてる
    - - spdy/3よりも圧縮レベル面で向上
    - CPU消費がより低く（つまり高速になる）
    - メモリ消費も軽減
    - CRIMEの攻撃が効かない