早在斯諾登曝光美國(guó)國(guó)家安全局破壞加密活動(dòng)之前，研究人員就對(duì)加密技術(shù)進(jìn)行了嚴(yán)格的分析。在2012年ekoparty安全會(huì)議上，Thai Duong和Juliano Rizzo討論了名為CRIME的攻擊，該攻擊并沒(méi)有明顯影響安全套接層/傳輸層安全(SSL/TLS)的安全性。在2013年黑帽大會(huì)上，Yoel Gluck、Neal Harris和Angelo Prado繼續(xù)研究SSL/TLS加密技術(shù)，他們揭示了新的威脅—通過(guò)自適應(yīng)超文本壓縮的瀏覽器勘測(cè)與滲透(或者被稱為BREACH攻擊)，該攻擊對(duì)SSL/TLS的影響比CRIME更為深遠(yuǎn)。

在這篇文章中，我們將談?wù)撌裁词荁REACH攻擊，它的工作原理，以及企業(yè)應(yīng)該采取哪些步驟來(lái)降低這種攻擊風(fēng)險(xiǎn)。

BREACH攻擊工作原理

為了破解加密，BREACH攻擊瞄準(zhǔn)了HTTPS表頭壓縮，這種壓縮對(duì)很多企業(yè)來(lái)說(shuō)很關(guān)鍵，因?yàn)樗畲笙薅鹊販p少了帶寬成本，并加快提高了網(wǎng)頁(yè)加載速度。

BREACH通過(guò)結(jié)合現(xiàn)有的兩種攻擊類型來(lái)竊取關(guān)于數(shù)據(jù)如何通過(guò)HTTPS Web應(yīng)用加密的信息，這兩種攻擊類型是：利用跨站請(qǐng)求偽造(CSRF)來(lái)改變傳輸中的數(shù)據(jù)，以及利用中間人攻擊注入數(shù)據(jù)到HTTPS表頭。根據(jù)注入數(shù)據(jù)，對(duì)這些請(qǐng)求變更的響應(yīng)允許攻擊者確定用于加密會(huì)話的字節(jié)信息，然后這些信息可以用于對(duì)數(shù)據(jù)進(jìn)行解密。

面對(duì)這些攻擊，靜態(tài)網(wǎng)站屬于低風(fēng)險(xiǎn)，而全功能的web應(yīng)用則非常容易受到攻擊，因?yàn)樗鼈儽辉O(shè)計(jì)為接受來(lái)自web客戶端的輸入，使得它更容易衡量web應(yīng)用提供的網(wǎng)頁(yè)中的變化，并最終解密連接。雖然這種攻擊技術(shù)在服務(wù)器端的實(shí)際影響是微乎其微的，但在客戶端，企業(yè)必須即時(shí)更新來(lái)防止中間人攻擊。幸運(yùn)的是，這種攻擊可能無(wú)法破解使用SSL/TLS用于傳輸層加密(例如SSL-SMTP或者IMAPS)的其他協(xié)議。

企業(yè)可以用來(lái)降低攻擊風(fēng)險(xiǎn)的步驟

我們有很多資源可以用于緩解BREACH攻擊。Qualys公司應(yīng)用安全研究主管Ivan Ristic寫(xiě)了一篇博客探討潛在的抵御措施。Carnegie Mellon CERT在其漏洞報(bào)告中列出了潛在的緩解方案。一份互聯(lián)網(wǎng)工程任務(wù)組(IETF)草案中也建議改善TLS來(lái)抵御這種攻擊。

然而，這些戰(zhàn)略都不能完全消除這個(gè)問(wèn)題;正如Ristic所提到的，抵御這個(gè)攻擊需要瀏覽器端的改進(jìn)。雖然BREACH對(duì)企業(yè)的影響很小，但全面的分析客戶幫助確定網(wǎng)站是否容易受到BREACH攻擊或者對(duì)SSL/TLS的其他攻擊。

企業(yè)可以采取不同的措施來(lái)緩解BREACH攻擊，不過(guò)，需要注意的是，雖然這些戰(zhàn)略很有效，但這些戰(zhàn)略可能對(duì)業(yè)務(wù)帶來(lái)負(fù)面影響。例如，禁用表頭壓縮將極大地降低BREACH攻擊的風(fēng)險(xiǎn)，但這會(huì)對(duì)高流量企業(yè)網(wǎng)站有著顯著的帶寬影響。

幸運(yùn)的是，我們還可以利用其他措施，包括以下：

為了保護(hù)內(nèi)部客戶端的安全性，使用IPsec虛擬專用網(wǎng)絡(luò)(VPN)來(lái)阻止中間人攻擊，(IPsec還可以幫助保護(hù)易受攻擊的SSL VPN)

利用入侵防御或入侵檢測(cè)系統(tǒng)(IPS/IDS)來(lái)識(shí)別試圖利用漏洞的惡意客戶端，并發(fā)出警報(bào)或阻止攻擊系統(tǒng)。

另外，web應(yīng)用防火墻或者具有web檢測(cè)功能的防火墻可以識(shí)別惡意客戶端并阻止它們。

漏洞掃描儀或者web應(yīng)用安全工具可以找出潛在的易受攻擊的需要更新的web應(yīng)用。

Web代理服務(wù)器或者web服務(wù)器中的配置更改可以阻止客戶端系統(tǒng)試圖在30秒內(nèi)發(fā)起超過(guò)設(shè)定的連接數(shù)。由于BREACH攻擊需要大量連接數(shù)，控制這一點(diǎn)可以防止漏洞被利用。

結(jié)論

SSL/TLS協(xié)議已經(jīng)經(jīng)受了嚴(yán)格的審查，仍然被認(rèn)為是保護(hù)公共網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)淖钣行У臋C(jī)制之一。

雖然有些使用這些協(xié)議的方法很不安全，但只有正確部署SSL/TLS，它都能夠提供高水平的傳輸安全。

企業(yè)可以而且應(yīng)該依賴于使用SSL/TLS的HTTPS來(lái)保護(hù)web流量的傳輸。雖然HTTPS仍容易受到中間人攻擊，但信息安全方面和加密協(xié)議的改進(jìn)正在幫助企業(yè)抵御這些攻擊。

BREACH攻擊可能需要迅速采取行動(dòng)來(lái)盡量減少風(fēng)險(xiǎn)，但從長(zhǎng)遠(yuǎn)來(lái)看，這不應(yīng)該阻止企業(yè)對(duì)數(shù)據(jù)傳輸使用加密。加密具有諸多好處，即使加密面臨這個(gè)特定攻擊的風(fēng)險(xiǎn)，但仍然是利大于弊。