harmful_grumpy (harmfulgrumpy) wrote,
harmful_grumpy
harmfulgrumpy

Новая атака на HTTPS узнает пароли

image

Исследователь в области компьютерной безопасности из Нидерландов, Гвидо Вранкен [Guido Vranken] обнаружил новый метод атаки на зашифрованный по TLS/SSL трафик. В теории он позволяет извлекать определённую информацию о передаваемых по протоколу HTTPS данных. Эту информацию затем можно использовать для повышения эффективности взлома.

Атака, названная исследователем "HTTPS Bicycle Attack" (велосипедная атака)
позволяет определить длину некоторых данных, передаваемых в зашифрованном виде: длина заголовка куков, длина паролей, передаваемых методом POST, GPS-координаты, адресов IPv4 и т.п. При этом анализу поддаётся даже трафик, оставшийся в логах.

Правда, чтобы извлечь информацию о длине полей, необходимо заранее знать длину некоторых из передаваемых данных. Кроме того, атака работает только при использовании потокового шифра.

Вычтя из длины заголовка аутентификации длину логина, URL-адреса, где авторизуется клиент, и другую вспомогательную информацию, атакующий может получить длину пароля, после чего атака методом подбора станет немного более эффективной.

В качестве рекомендаций для администраторов ресурсов Вранкен советует отключить потоковое шифрование, всегда использовать последнюю версию TLS (пока это 1.2) и маскировать истинную длину самых чувствительных данных, дополняя их символами, которые потом будут отброшены.

Теоретическая возможность такой атаки не является поводом для паники – для её успеха необходимо выполнение многих условий. И, конечно, пользователи, использующие нестандартные случайные и достаточно длинные пароли, причём разные на разных ресурсах, пока ещё могут чувствовать себя в безопасности.
Источник: http://geektimes.ru/post/268880/
Tags: интернет, комп, программы
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments