بازیابی داده‌های HTTP از اتصالات VPN توسط حملات VORACLE

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

بازیابی داده‌های HTTP از اتصالات VPN توسط حملات VORACLE
q841
نوعی جدید از حملات با نام VORACLE کشف شده است که می‌تواند ترافیک HTTP ارسال شده از طریق اتصال‌های VPN رمزگذاری شده را تحت شرایط خاصی بازیابی کند.
به طور کلی VORACLE حمله جدیدی نیست و به نوعی ترکیبی از حملات رمزنگاری قدیمی مانند CRIME، TIME و BREACH است. پژوهشگران در این حملات قدیمی متوجه شدند که در صورت فشرده‌سازی داده‌ها قبل از رمزگذاری، می‌توانند داده‌‌ها را از اتصال‌های رمزگذاری شده بصورت TLS، بازیابی کنند. این آسیب‌پذیری‌ها در سال‌های ۲۰۱۲ و ۲۰۱۳ برطرف شدند و تاکنون اتصال‌های HTTPS امن بوده‌اند.
این حملات قدیمی در برخی ترافیک‌های VPN همچنان قابل اعمال هستند. برخی از سرویس‌های VPN ترافیک وب HTTP را قبل از رمزگذاری فشرده می‌کنند و این امر باعث می‌شود که آنها نسبت به حملات قدیمی یاد شده آسیب‌پذیر باشند. هدف این حملات استخراج اطلاعات مخفی مانند کوکی‌ها، صفحات دارای اطلاعات حساس و غیره است.
حمله VORACLE تنها علیه سرویس‌های VPN که بر روی پروتکل OpenVPN ساخته شده باشند کار می‌کند. دلیل این امر آن است که پروتکل منبع‌باز OpenVPN از تنظیمات پیش‌فرضی استفاده می‌کند که طبق آنها، اطلاعات قبل از رمزگذاری از طریق TLS فشرده‌سازی می‌شوند و سپس به تونل VPN ارسال می‌شوند. از این رو شرایط حملات CRIME، TIME و BREACH فراهم می‌شوند. تنها کاری که مهاجم باید انجام دهد، وادار کردن قربانی است به بازدید از یک سایت HTTP که تحت کنترل وی است.

برای جلوگیری از حملات VORACLE، سه مورد زیر پیشنهاد شده است:
• تغییر پروتکل سرویس VPN و استفاده از پروتکلی غیر از OpenVPN،
• عدم استفاده از وب‌سایت‌های HTTP، ترافیک HTTPS نسبت به حملات VORACLE امن است،
• استفاده از مرورگرهای مبتنی بر Chromium. در این مرورگرها درخواست‌های HTTP به قسمت‌های مختلف تقسیم می‌شوند (بدنه و فرایند). در مرورگرهای غیر Chromium مانند فایرفاکس، درخواست‌های HTTP در یک بسته ارسال می‌شوند که آنها را نسبت به حملات VORACLE آسیب‌پذیر می‌کند.

پس از انتشار جزئیات VORACLE، OpenVPN برخی توصیه‌های امنیتی را منتشر کرده است اما تنظیمات پیش‌فرض خود را بدلیل پایین آمدن کارایی، تغییر نداده است. TunnelBear پشتیبانی از فشرده‌سازی برمبنای OpenVPN را حذف کرده است. Private Internet Access نیز اعلام کرده است که از سال ۲۰۱۴ فشرده‌سازی قبل از رمزگذاری را غیرفعال کرده است. همچنین، ExpressVPN اعلام کرده است که فشرده‌سازی را برای جلوگیری از حملات VORACLE غیرفعال کرده است.

منبع:
/https://www.bleepingcomputer.com/news/security/voracle-attack-can-recover-http-data-from-vpn-connections
منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری