Hakiranje
ALPACA napad prijeti HTTPS protokolu
Zaštićene HTTPS web stranice mogu se koristiti za hakiranje email i FTP servera.
Grupa istraživača za računalnu sigurnost s tri njemačka sveučilišta otkrila je ranjivost u TLS (Transport Layer Security) protokolu koja bi pod određenim okolnostima mogla omogućiti napadačima da zaprijete HTTPS konekcijama slanjem podataka na email servere.
Kada posjećujete stranice zaštićene HTTPS protokolom, vaš preglednik ne prosljeđuje podatke web serveru dok ne potvrdi digitalni certifikat web stranice. To hakerima onemogućuje praćenje ili promjenu protoka podataka između vas i web stranice prikupljanjem autentfikacijskih kolačića ili pokretanjem malicioznog malwarea.
No istraživači u svojem izvještaju pod nazivom ALPACA napad (Application Layer Protocol Confusion – Analyzing and Mitigating Cracks in TLS Authentication), upozoravaju na ranjivost koju hakeri mogu iskoristiti ako zavaraju preglednik u spajanju na email ili FTP server koji koristi certifikat kompatibilan onome koji koristi web stranica.
Obzirom da je domena web stranice ista kao domena na certifikatu email ili FTP servera, preglednik se često spaja na TLS (Transport Layer Security) jednog od tih servera, umjesto na web stranicu koju namjeravate posjetiti.
"Obzirom da preglednik komunicira preko HTTPS-a i email i FTP servera preko SMTP-a, FTPS-a ili drugog protokola, postoji mogućnost da nešto krene u krivo", navode istraživači u izvještaju koji možete pronaći na ovoj poveznici.
Kao primjer navode da bi se dekriptirani autentifikacijski kolačić mogao slati napadaču ili bi se maliciozni kod mogao izvršavati na uređaju posjetitelja.
Prema jednoj novoj studiji, oko 14,4 web servera koristi ime domene koje je kompatibilno s kriptografskim credentialsima email ili FTP servera iste tvrtke ili organizacije, a oko 114.000 stranica se smatra ranjivim jer email ili FTP server koristi softver koji je ranjiv na takve napade.
Njemački istraživači ne znaju koliko ALPACA napadi doista mogu biti opasni, no ako ste server administrator i želite s njima doći u kontakt zbog dodatnih informacija, objavili su svoje kontakt adrese pa ih možete malo "spamati":
- Marcus Brinkmann, Ruhr University Bochum, @lambdafu, [email protected]
- Christian Dresen, Münster University of Applied Sciences, @dr4ys3n, [email protected]
- Robert Merget, Ruhr University Bochum, @ic0nz1, [email protected]
- Damian Poddebniak, Münster University of Applied Sciences, @dues__, poddebniak@fh-muenster
- Jens Müller, Ruhr University Bochum, @jensvoid, [email protected]
- Juraj Somorovsky, Paderborn University, @jurajsomorovsky, [email protected]
- Jörg Schwenk, Ruhr University Bochum, @JoergSchwenk, [email protected]
- Sebastian Schinzel, Münster University of Applied Sciences, @seecurity, schinzel@fh-muenster
Učitavam komentare ...