tegra
August 16th, 2016, 13:27
به تازگی تکنیکی توسط کارشناسان دنیای امنیت شناسایی شده است که به هکرها اجازه میدهد با استفاده از این تکنیک حملاتی را پیرامون SSL/TLS و دیگر کانالهای امن پیادهسازی کنند. جالب آنکه این حمله صرفا در مرورگر انجام میشود. ماحصل این حمله به سرقت رفتن ایمیلهای رمزنگاری شده، شمارههای تامین اجتماعی و هرگونه دادههای حساس است.
http://www.shabakeh-mag.com/sites/default/files/styles/content/public/images/main/1395/05/1470672965.jpg?itok=RlWJ1xSQ
سوء استفاده از اسکیمای رمزنگاری HTTPS به این شکل انجام میشود که محتوای مخرب در قالب یک فایل جاوااسکرپیت در پسزمینه تبلیغات اینترنتی یا بهطور مستقیم درون یک صفحه وب پنهان گشته و کاربران را فریب میدهد. متی ونهاف و تام ون گوتن دو دانشجوی مقطع دکترای دانشگاه لوون بلژیک، موفق شدهاند این چنین حملهای را شبیهسازی کرده و آنرا HESIT نامگذاری کنند.
این حمله به منظور بهرهبرداری از آسیبپذیریهای موجود در پروتکلهای شبکه بدون آنکه یک ترافیک واقعی به شبکه وارد شود، به مرحله اجرا درآمده است. نتایج یافتههای این دو کارشناس امنیتی در کنفرانس کلاه سیاه که هفته گذشته در ایالات متحده برگزار شد، در معرض دید همگان قرار گرفت.
این تحقیق نشان داد، چگونه یک حمله کانال جانبی (side channel) این قابلیت را دارد تا روی پاسخهایی که در سطح پروتکل TCP فرستاده میشود، اثرگذار باشد. بهطوری که به واسطه آن یک پیام متنی ساده دریافت شود. این دو پژوهشگر در این ارتباط گفتهاند: «حملات مبتنی بر فشردهسازی (Compression-based) همچون CRIME و BREACH اکنون این پتانسیل را دارند تا از طریق هر سایت یا اسکرپیت آلودهای تنها در یک مرورگر به مرحله اجرا درآیند، بی آنکه هکر نیازی داشته باشد تا به ترافیک شبکه دست پیدا کند.» این تکنیک باعث میشود تا هکر بدون نیاز به پیادهسازی یک حمله Man in the middle کاربران را از طریق یک سایت آلوده قربانی ساخته و اطلاعات حساس را با نفوذ به سرویسها و سایتها از هدفهای مشخصی ربایش کند.
http://www.shabakeh-mag.com/sites/default/files/styles/content/public/images/main/1395/05/1470672965.jpg?itok=RlWJ1xSQ
سوء استفاده از اسکیمای رمزنگاری HTTPS به این شکل انجام میشود که محتوای مخرب در قالب یک فایل جاوااسکرپیت در پسزمینه تبلیغات اینترنتی یا بهطور مستقیم درون یک صفحه وب پنهان گشته و کاربران را فریب میدهد. متی ونهاف و تام ون گوتن دو دانشجوی مقطع دکترای دانشگاه لوون بلژیک، موفق شدهاند این چنین حملهای را شبیهسازی کرده و آنرا HESIT نامگذاری کنند.
این حمله به منظور بهرهبرداری از آسیبپذیریهای موجود در پروتکلهای شبکه بدون آنکه یک ترافیک واقعی به شبکه وارد شود، به مرحله اجرا درآمده است. نتایج یافتههای این دو کارشناس امنیتی در کنفرانس کلاه سیاه که هفته گذشته در ایالات متحده برگزار شد، در معرض دید همگان قرار گرفت.
این تحقیق نشان داد، چگونه یک حمله کانال جانبی (side channel) این قابلیت را دارد تا روی پاسخهایی که در سطح پروتکل TCP فرستاده میشود، اثرگذار باشد. بهطوری که به واسطه آن یک پیام متنی ساده دریافت شود. این دو پژوهشگر در این ارتباط گفتهاند: «حملات مبتنی بر فشردهسازی (Compression-based) همچون CRIME و BREACH اکنون این پتانسیل را دارند تا از طریق هر سایت یا اسکرپیت آلودهای تنها در یک مرورگر به مرحله اجرا درآیند، بی آنکه هکر نیازی داشته باشد تا به ترافیک شبکه دست پیدا کند.» این تکنیک باعث میشود تا هکر بدون نیاز به پیادهسازی یک حمله Man in the middle کاربران را از طریق یک سایت آلوده قربانی ساخته و اطلاعات حساس را با نفوذ به سرویسها و سایتها از هدفهای مشخصی ربایش کند.