Investigadores han descubierto que, cuando datos enviados a través de una conexión HTTPS cifrada ha sido objeto de compresión previa, se abre la puerta a los atacantes que, al modificar el tráfico de datos en una forma dirigida, son entonces capaces de romper la encriptación. La compresión es apoyada por casi la mitad de todos los servidores web, incluyendo los servidores en muchas organizaciones importantes como Google y Twitter. Los fabricantes de navegadores, sin embargo, ya han reaccionado mediante la desactivación de las funciones adicionales que permiten la vulnerabilidad.

Los investigadores de seguridad Juliano Rizzo y Thai Duong habían originalmente previsto presentar la semana que viene una vista detallada de su nuevo ataque, code-named CRIME (nombre en código CRIMEN), pero todas sus cartas ya están sobre la mesa. CRIMEN se basa en un problema que John Kelsey de Certicom describió en 2002 en un artículo titulado Compression and Information Leakage of Plaintext  (Compresión y fuga de información de texto sin formato). Cuando un servidor y un cliente usan TLS deflate compression (compresión TLS desinflada) o el más reciente protocolo SPDY, un atacante man-in-the-middle (hombre-en-el medio) puede extraer las cookies de sesión y utilizarlas para comprometer una sesión cifrada. Los investigadores han demostrado su técnica en un vídeo con objetivos como Dropbox y GitHub. Una simple proof of concept  (prueba de concepto) ha sido previamente publicada.

Demostración del ataque CRIMEN en sitios web como Dropbox y Github en video (en inglés)

Pero no todo es tan malo como parece. Ivan Ristic de Qualsys explica en su excelente analysis of the problem, (análisis del problema en inglés), que sólo el navegador web Chrome soporta correctamente la compresión TLS y el equipo de desarrollo de Chrome ya lo ha desactivado en la versión más reciente. El más reciente protocolo SPDY es compatible con Firefox y Chrome y la mayoría de los navegadores, pero de acuerdo a Qualsys sólo se admite en un 0,8 por ciento de los sitios web. Los usuarios de los navegadores web Internet Explorer, Opera y Safari pueden, por una vez, poner los pies en alto y relajarse – sus navegadores no soportan esas fruslerías. Sin embargo para los navegadores en los smartphone y otros servicios que utilizan TLS para el cifrado podría resultar problemático.

Traducción: Velcro

Fuente: The H Security Blog