 |
| Ataque HTTPS |
Um novo ataque a fluxos de comunicação supostamente seguros levanta questões sobre a resiliência das senhas, os pesquisadores de segurança advertem.
O ataque HTTPS Bicycle pode resultar na extensão dos
dados pessoais e secretos, como senhas e coordenadas GPS, sendo expostos a
partir de uma captura de pacotes de tráfego HTTPS de um usuário.
O ataque descoberto pelo pesquisador de segurança GuidoVranken (e resumidas abaixo), muda o foco de atenção sobre temas como
criptografia, autenticação, privacidade e mais especificamente a segurança da
senha.
- É geralmente assumido que o tráfego HTTP encapsulado no TLS não revela as dimensões exatas de suas partes, tais como o comprimento de um cabeçalho de cookie, ou a carga de um pedido HTTP POST que podem conter credenciais de comprimento variável, tais como senhas. Neste artigo, mostram que a redundância dos cabeçalhos HTTP de texto simples incluído em cada pedido pode ser explorada a fim de revelar o comprimento de componentes específicos (como senhas) de solicitações específicas (tais como autenticação para um aplicativo da web).
- A redundância de HTTP na prática permite uma resolução iterativo do comprimento de incógnitas em uma mensagem HTTP até que os comprimentos de todos os seus componentes são conhecidos com exceção de um segredo cobiçado, tal como uma senha, cujo comprimento é então implícita. O ataque, além disso, explora a propriedade de suites orientada a criptografia de fluxo, tais como aqueles baseados em modo de contador que o tamanho exato do texto simples pode ser conhecido a um man-in-the-middle.
Carl Leonard, principal analista de segurança da empresa
de ferramentas de segurança
, Raytheon | Websense, comentou: "Os usuários
finais podem esperar que suas senhas permaneçam em segredo quando interagem com
um site que usa criptografia, mas HTTPS Bicycle mostra que isso pode não ser o
caso. Conhecimento é poder para um atacante, e até mesmo pequenos pedaços de
informação pode levar a um ataque mais refinado mais tarde".
, Raytheon | Websense, comentou: "Os usuários
finais podem esperar que suas senhas permaneçam em segredo quando interagem com
um site que usa criptografia, mas HTTPS Bicycle mostra que isso pode não ser o
caso. Conhecimento é poder para um atacante, e até mesmo pequenos pedaços de
informação pode levar a um ataque mais refinado mais tarde".
Determinar até mesmo o comprimento de uma senha pode
limitar o leque de possibilidades e, portanto, fazer subsequentes ataques de
força bruta mais eficaz, continuou Leonard: "A natureza não detectável
deste ataque significa que é vital que os webmasters
venha a considerar o uso
de senhas fortes e autenticação de dois fatores para eliminar o ponto único de
falha. Os usuários finais devem garantir que suas senhas são suficientemente
fortes, enquanto os operadores de sites e desenvolvedores da plataforma web
deve garantir que eles são totalmente atualizado para garantir que todas as
medidas são tomadas para evitar que este ataque ocorra no futuro".
venha a considerar o uso
de senhas fortes e autenticação de dois fatores para eliminar o ponto único de
falha. Os usuários finais devem garantir que suas senhas são suficientemente
fortes, enquanto os operadores de sites e desenvolvedores da plataforma web
deve garantir que eles são totalmente atualizado para garantir que todas as
medidas são tomadas para evitar que este ataque ocorra no futuro".
Nenhum comentário :
Postar um comentário
Deixe seu comentário ou sugestões de postagem.