BEAST Attack
Was ist BEAST Attack?
BEAST AttackChosen-Plaintext-Angriff (Rizzo und Duong, 2011; CVE-2011-3389) auf SSL 3.0 und TLS 1.0 im CBC-Modus, der HTTPS-Cookies ueber einen vorhersagbaren IV ausliest.
BEAST (Browser Exploit Against SSL/TLS) wurde auf der Ekoparty 2011 von Juliano Rizzo und Thai Duong veroeffentlicht und als CVE-2011-3389 gefuehrt. SSL 3.0 und TLS 1.0 verketten die CBC-Initialisierungsvektoren ueber Records hinweg: Der IV fuer Record N ist schlicht der letzte Chiffrenblock von Record N−1 und damit einem Angreifer im Netzwerk bekannt, bevor der naechste Record gesendet wird. Dadurch wird die Verschluesselung zu einem CBC-Schema mit vorhersagbarem IV, das fuer eine blockweise adaptive Chosen-Plaintext-Attacke anfaellig ist.
Der praktische Exploit kombiniert einen Man-in-the-Middle mit angreiferkontrolliertem JavaScript (urspruenglich ein Java-Applet, das Schwaechen der Same-Origin-Policy ausnutzte), das im Browser des Opfers laeuft. Der Angreifer richtet ein unbekanntes geheimes Byte — etwa ein Byte eines Sitzungscookies — so aus, dass es am Ende eines CBC-Blocks liegt, und raet dann das Byte: Eine Vermutung gilt als bestaetigt, wenn der erzeugte Chiffrenblock mit einem zuvor beobachteten uebereinstimmt. Indem die Grenze byteweise verschoben wird, laesst sich das vollstaendige Cookie mit etwa 256 Versuchen pro Byte statt 256^n rekonstruieren.
Gegenmassnahmen: TLS 1.1+ verwendet explizite, pro Record zufaellige IVs und ist immun; Browser fuehrten den 1/n−1-Record-Split ein (ein Byte in einem eigenen Record senden, um den naechsten IV zu randomisieren); RC4 war eine Uebergangsloesung, bis seine eigenen Verzerrungen es unsicher machten. Die dauerhafte Loesung ist TLS 1.2/1.3 mit AEAD-Chiffren (AES-GCM, ChaCha20-Poly1305), die CBC fuer die Record-Verschluesselung aufgeben.
flowchart TD
M[MITM observes TLS 1.0 CBC records] --> J[Attacker JS injects chosen plaintext]
J --> A[Align secret cookie byte at block boundary]
A --> G[Guess byte using prior ciphertext block as known IV]
G --> C{Ciphertext block matches?}
C -->|Yes| R[Byte recovered, shift boundary]
C -->|No| G
R --> D{Cookie complete?}
D -->|No| A
D -->|Yes| S[Session cookie stolen]● Beispiele
- 01
Wiederherstellung eines Authentifizierungs-Cookies auf einer TLS-1.0-Banking-Seite ueber ein bosartiges Java-Applet.
- 02
Byteweises Entschluesseln von HTTP-Request-Headern in einer HTTPS-Sitzung mit CBC-Modus.
● Häufige Fragen
Was ist BEAST Attack?
Chosen-Plaintext-Angriff (Rizzo und Duong, 2011; CVE-2011-3389) auf SSL 3.0 und TLS 1.0 im CBC-Modus, der HTTPS-Cookies ueber einen vorhersagbaren IV ausliest. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet BEAST Attack?
Chosen-Plaintext-Angriff (Rizzo und Duong, 2011; CVE-2011-3389) auf SSL 3.0 und TLS 1.0 im CBC-Modus, der HTTPS-Cookies ueber einen vorhersagbaren IV ausliest.
Wie schützt man sich gegen BEAST Attack?
Schutzmaßnahmen gegen BEAST Attack kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für BEAST Attack?
Übliche alternative Bezeichnungen: BEAST.