Криптографическая схема HTTPS, используемая для защиты миллионов сайтов
по всему миру, подвержена новому типу атак, позволяющих хакерам получать
пользовательские адреса электронной почты и банковские платежные
реквизиты из зашифрованных страниц. В ряде случаев на реализацию атаки
уходит всего 30 секунд.
Ожидается, что подробно о новой технике будет рассказано сегодня на
конференции Black Hat в Лас-Вегасе. Авторы методики говорят, что атака
позволяет декодировать закрытые данные, которые системы онлайн-банкинга и
платформы электронной коммерции передают в ответ клиентам по протоколам
TLS (Transport Layer Protocol) и SSL (Secure Sockets Layer). По словам
авторов методики, атака позволяет вскрывать определенные типы данных,
такие как номера социального страхования, электронные адреса, некоторые
типы электронных ключей, а также ссылки на сброс паролей.
Работает атака против всех версий TLS и SSL, независимо от того, какой именно алгоритм или шифр используется.
Новый тип атаки требует, чтобы у атакующего был пассивный доступ к
трафику между пользователем и веб-сайтом. Кроме того атака требует,
чтобы атакующий вынудил жертву нажать на вредоносную ссылку. Сделать это
можно через iframe или через скрытое изображение со ссылкой в тексте
страницы или письма.
Авторы говорят, что они не дешифруют весь канал HTTP, а лишь вскрывают
те данные, что им необходимы. "Нам нужно найти лишь кусок данных, это
может быть ключ, запрос на изменение пароля. В общем, вскрыть можно
практически любой ответ через страницу или Ajax-код", - говорит Джоэль
Глук, один из автором методики. |
