Attacco BREACH

Gli attacchi BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext) sono stati scoperti nel 2013. Questa tecnica di violazione dei dati personali sfrutta la combinazione fra compressione e crittografia necessaria ai siti Web per diminuire i tempi di caricamento delle pagine, preservare la larghezza di banda e proteggere la trasmissione dei dati. Pur non mirando direttamente al protocollo di sicurezza SSL (Secure Sockets Layer), gli attacchi BREACH compromettono la privacy garantita da questo sistema aggirando la crittografia HTTPS degli header di pagina e lasciando altri contenuti allo scoperto. Grazie a un mix di attacchi di forza bruta e algoritmi divide et impera, gli hacker possono lanciare un exploit BREACH per violare i dati e sottrarre credenziali di accesso, indirizzi e-mail e altre informazioni personali sensibili dai siti Web basati su SSL.

Attacchi BREACH: vulnerabilità e possibili tecniche di mitigazione

Gli attacchi BREACH colpiscono tutte le versioni del protocollo SSL/TLS implementato e sono efficaci contro qualsiasi sequenza cifrata, purché vengano soddisfatte le seguenti condizioni:

  • L’applicazione Web presenta una compressione di livello HTTP e riflette dati forniti dagli utenti e un segreto statico nei contenuti della risposta HTTP (response body).
  • L’hacker sa che cosa cercare ed è in grado di monitorare il traffico tra utente e applicazione Web per reperire la lunghezza delle risposte HTTP.
  • L’hacker riesce a persuadere l’utente a visitare un sito Web contenente script infetti e introdurre un MITB (Man-in-the-Browser) capace di inviare richieste al sito Web target.

Di fatto, iniettare un testo in chiaro in una richiesta HTTPS e osservare la lunghezza delle risposte HTTPS compresse è sufficiente all’hacker per indovinare ripetutamente ed estrapolare i segreti contenuti nel testo in chiaro da un flusso SSL.

Dal momento che a un attacco BREACH bastano poche migliaia di richieste per funzionare, può essere lanciato in meno di 60 secondi e non esiste un metodo pratico e diretto per eliminare l’exploit. Per mitigare l’attacco, è possibile disabilitare la compressione HTTP (scendendo però a compromessi sulle prestazioni e sul risparmio di banda larga), separare i segreti dall’input dell’utente o limitare la frequenza di richieste al server. La maggior parte delle soluzioni contro gli attacchi BREACH è modellata sulla singola applicazione oppure implica un potenziamento delle best practice in materia di sicurezza delle informazioni e gestione dei dati sensibili. In alternativa, è auspicabile implementare una gestione delle vulnerabilità sulle applicazioni Web e avvalersi di un WAF (Web Application Firewall) per rilevare e bloccare i client malevoli.

Un modo semplice ed efficace per proteggere le applicazioni e i siti Web

Akamai ha a disposizione tutti gli strumenti per aiutare i clienti a implementare sistemi di difesa appropriati e discutere delle conseguenze che le potenziali strategie di prevenzione degli attacchi BREACH potrebbero comportare in termini di prestazioni. Agli utenti della nostra piattaforma, consigliamo di optare per la soluzione di sicurezza Kona Site Defender:

  • Mitigazione degli attacchi DDoS integrata e altamente funzionale che attinge alla scalabilità della Akamai Intelligent Platform per contrastare gli exploit a livello sia di applicazione che di rete.
  • Un WAF destinato all’ispezione approfondita dei pacchetti di traffico HTTP/S per individuare e bloccare alla fonte gli attacchi SQL injection, XSS (cross-site scripting) e le forme più diffuse di cyber attacco.
  • Controllo dei tassi di richieste per prevenire gli attacchi a livello di applicazione, monitorando e controllando la frequenza delle richieste ai nostri server e l’origine del cliente.

Ulteriori informazioni su Kona Site Defender e altre soluzioni di cloud security basate sulla Akamai Intelligent Platform.