חוקרי אבטחה מוצאים עוד דליפה ב- HTTPS, וזה לא יהיה קל תיקון - מחשוב - 2019

Anonim

למתקפה חדשה יש פוטנציאל לגנוב כל דבר, החל מכתובות דוא"ל ועד מספרי ביטוח לאומי - ומומחי אבטחה מצאו אותו פועל חופשי בטבע. זה עובד על ידי מניפולציה את הדרך בה תגובות HTTPS מועברים על פני פרוטוקול בקרת שידור (TCP), המאפשר לשחקנים ערמומיים לפענח מידע מוסתר כדי לחלץ נתונים אישיים על משתמשים ממוקדים.

לנצל את ידוע בשם HEIST, אשר רופף מייצג מידע מוצפן HTTP ניתן גנוב באמצעות TCP-Windows (לפי ארס) וזה מסוכן במיוחד כי זה מסוגל ופשוט. כאשר משתמש אינטרנט נתקל בקוד זדוני בדף אינטרנט, הוא יכול לבצע שאילתה למספר עמודים, מודד את הגודל של הנתונים המועברים כאשר התגובה מגיעה.

למרות שהנתונים מוגנים על ידי HTTPS, שימוש במנצחים ישנים יותר, שחקנים מנוונים עשויים לפענח את הנתונים בחבילות אלה ולגלות נתונים אישיים למדי על האנשים שנפגעו.

למרבה המזל, הטכניקה הומצאה על ידי חוקרי אבטחה באוניברסיטת לובן, בלגיה, ולא על ידי כובעים שחורים. בגלל זה אנחנו שומעים על זה לפני שזה כבר מנוצל עבור פלישות הפרט בטבע. החוקרים שגילו את הניצול, ואן גוטם ומתי ואנהוף, גילו זאת בעבר גם למיקרוסופט וגם לגוגל, אך הוכיחו שוב את הכדאיות שלה אתמול על ידי התמודדות עם קוד מסוכן לפרסום של "ניו יורק טיימס".

הצמד מאמין שבידיים הנכונות, הפגם הביטחוני עלול להשפיע על אתרים רבים ועל ידי הרחבה, משתמשים רבים.

למרבה הצער, בשלב זה לתקן הנכון אינו קיים באמת. משתמשי הקצה יכולים להשבית את קובצי ה- Cookie, מה שעושה את זה כמעט בלתי אפשרי עבור הנתונים שהוא שולח להיות מפוענח, אבל זה היה גם להרוג את הפונקציונליות על הרבה אתרים.

בהתחשב HEIST הוא רק את האמצעים עד הסוף ואת מנצל המאפשרים פענוח של הנתונים HTTPS כבר בסביבה במשך שנים, זה לא נראה כמו חור אבטחה כי הוא הולך להיות תוקנו בקרוב. גם חוקרי הביטחון אינם תקווה.

למרבה הצער זה אומר שכולנו נשאר מתנדנד ברוח עם הדרך הטובה ביותר להגן על עצמנו. החיובי היחיד לכל זה הוא כי מאז אנחנו צריכים למעוד על פני קוד זדוני כדי להיות פגיע, דבק באתרים אמינים אשר צפויים לארח את זה היא הדרך הטובה ביותר להגן על עצמך, קצר מ השבתת עוגיות בכל מקום ו walling את עצמך מן המקוון עוֹלָם.