Le suite di crittografia che sono potenzialmente vulnerabili a BEAST sono quelle che usano cifrari a blocchi in modalità CBC (ad esempio TLS_RSA_WITH_3DES_EDE_CBC_SHA
). Inoltre, il sistema di selezione della suite di crittografia in SSL funziona in questo modo:
- Il client invia l'elenco di pacchetti di crittografia che è disposto a supportare.
- Il server seleziona una suite di codici in quell'elenco, che supporta anche.
L'elenco inviato dal cliente è ordinato per preferenza: la prima suite nell'elenco è quella che il cliente desidera maggiormente utilizzare. Un server cortese dovrebbe rispettare le preferenze del cliente. IIS6 sembra essere "cortese" e questo non può essere modificato.
BEAST è un attacco client ; quando diciamo che un server è vulnerabile a BEAST, in realtà intendiamo che il server ha l'opportunità di proteggere il client, eppure non lo fa. Vale a dire, la "vulnerabilità" si verifica quando:
- La versione del protocollo è SSL 3.0 o TLS 1.0 (TLS 1.1+ è intrinsecamente immune agli exploit di tipo BEAST).
- Il cliente pubblicizza solo pacchetti di crittografia che utilizzano CBC; o, più spesso, il cliente pubblicizza alcune serie di cifrari CBC prima (in ordine di preferenza), con le suite basate su RC4 che arrivano solo dopo, e il server non impone l'uso di RC4 (cioè il server è troppo cortese).
In pratica , BEAST richiede un framework di attacco piuttosto complesso e, inoltre, deve sfruttare un Same Politica di origine buco nel browser. Al momento non è noto il foro SOP abbastanza flessibile (la demo di BEAST utilizzava due fori, in JavaScript WebSockets e in Java, ed entrambi sono stati collegati da allora), quindi la minaccia è potenziale. Non c'è bisogno di preoccuparsi eccessivamente. Devi correggere la cosa BEAST per conformità , non per la sicurezza attuale.
Dato che IIS6 non può essere scortese, è necessario disabilitare completamente le suite di crittografia basate su CBC. Vedi la risposta @ jimbobmcgee per i puntatori. Questo ha l'effetto collaterale di rifiutarsi di parlare con i clienti che conoscono solo di suite di crittografia basate su CBC, ma i browser che non possono fare RC4 sono estremamente rari.