Επίθεση HTTPS Bicycle: ασφαλές το πρωτόκολλο HTTPS;

HTTPS Bicycle: Μια νέα επίθεση στο υποτιθέμενο ασφαλές πρωτόκολλο επικοινωνίας HTTPS εγείρει ερωτήματα για την ανθεκτικότητα των κωδικών πρόσβασης, προειδοποιούν οι ερευνητές ασφάλειας.HTTPS Bicycle

Μια νέα επίθεση με όνομα HTTPS Bicycle μπορεί να οδηγήσει στην αποκάλυψη προσωπικών και απόρρητων δεδομένων ενός χρήστη, όπως τους κωδικούς πρόσβασης και τις συντεταγμένες GPS, που εκτίθεται από τη σύλληψη πακέτων κυκλοφορίας του HTTPS.

Η επίθεση που ανακαλύφθηκε από τον ερευνητή ασφάλειας Guido Vranken επανατοποθετεί σοβαρά θέματα για συζήτηση στο τραπέζι των ειδικών ασφαλείας: κρυπτογράφηση, έλεγχος ταυτότητας, ιδιωτική ζωή και πιο συγκεκριμένα οι κωδικοί ασφαλείας.

Συνήθως υποτίθεται ότι η κυκλοφορία HTTP που προστατεύεται με TLS δεν αποκαλύπτει τα ακριβή μεγέθη των τμημάτων της, όπως το μήκος του cookie header, ή το ωφέλιμο φορτίο μιας αίτησης POST σε HTTP που μπορεί να περιέχει διαπιστευτήρια μεταβλητού μήκους, όπως κωδικούς πρόσβασης. Σε αυτή την εργασία δείχνω ότι τα HTTP headers απλού κειμένου που συμπεριλαμβάνονται σε κάθε αίτηση μπορούν να αξιοποιηθούν, προκειμένου να αποκαλύψουν το μήκος συγκεκριμένων συστατικών (όπως τα passwords) σε ιδιαίτερα αιτήματα (όπως ο έλεγχος ταυτότητας σε μια εφαρμογή web).

  Hackers διέρρευσαν 7 εκατομμύρια πιστωτικές κάρτες στο διαδίκτυο

Η επίθεση εκμεταλλεύεται τις ιδιότητες των stream-oriented cipher suites, που βασίζονται σε Galois/Counter Mode καθώς το ακριβές μέγεθος του απλού κειμένου που μπορεί να είναι γνωστό σε έναν man-in-the-middle.

Ο Carl Leonard, που είναι κύριος αναλυτής ασφαλείας στην εταιρία Raytheon|Websense, σχολίασε:

“Οι τελικοί χρήστες μπορούν να περιμένουν ότι οι κωδικοί τους παραμένουν απόρρητοι, όταν αλληλεπιδρούν με μια ιστοσελίδα που χρησιμοποιεί κρυπτογράφηση, αλλά η επίθεση HTTPS Bicycle δείχνει ότι αυτό δεν συμβαίνει. Η γνώση είναι η δύναμη του εισβολέα, και ακόμη και μικρά κομμάτια πληροφοριών μπορεί να οδηγήσουν σε μια μεταγενέστερη, πιο εκλεπτυσμένη επίθεση.”

Ο Leonard συνέχισε:

“Η μη ανιχνεύσιμη φύση αυτής της επίθεσης σημαίνει ότι είναι ζωτικής σημασίας για τους webmasters να εξετάζουν τη χρήση ισχυρών κωδικών πρόσβασης και ελέγχου ταυτότητας δύο παραγόντων για την εξάλειψη του μοναδικού σημείου αποτυχίας. Τέλος οι χρήστες πρέπει να διασφαλίζουν τους κωδικούς πρόσβασής τους, ώστε να είναι αρκετά ισχυροί, ενώ οι διαχειριστές μιας ιστοσελίδας και οι προγραμματιστές μιας διαδικτυακής πλατφόρμας θα πρέπει να διασφαλίσουν ότι είναι πλήρως ενημερωμένοι και ότι λαμβάνονται όλα τα μέτρα για να αποτρέψουν αυτήν την επίθεση στο μέλλον.”

  Ξεκίνησαν μαζικές online σαρώσεις για unpatched Joomla

Περισσότερα για την επίθεση μπορείτε να διαβάσετε από το παρακάτω link

HTTPS Bicycle Attack

Εγγραφή στο iGuRu.gr μέσω email

Το email σας για την αποστολή κάθε νέας δημοσίευσης

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Αφήστε μια απάντηση

Your email address will not be published.

43  +    =  49

Previous Story

CES 2016: Παρουσίαση της κάμερας δράσης Nikon KeyMission 360

Next Story

Oculus Rift: Άνοιξαν οι προ-παραγγελίες