ALPACA napad prijeti HTTPS protokolu

  • Objavljeno u Novosti
image

Grupa istraživača za računalnu sigurnost s tri njemačka sveučilišta otkrila je ranjivost u TLS (Transport Layer Security) protokolu koja bi pod određenim okolnostima mogla omogućiti napadačima da zaprijete HTTPS konekcijama slanjem podataka na email servere.

Kada posjećujete stranice zaštićene HTTPS protokolom, vaš preglednik ne prosljeđuje podatke web serveru dok ne potvrdi digitalni certifikat web stranice. To hakerima onemogućuje praćenje ili promjenu protoka podataka između vas i web stranice prikupljanjem autentfikacijskih kolačića ili pokretanjem malicioznog malwarea.

No istraživači u svojem izvještaju pod nazivom ALPACA napad (Application Layer Protocol Confusion – Analyzing and Mitigating Cracks in TLS Authentication), upozoravaju na ranjivost koju hakeri mogu iskoristiti ako zavaraju preglednik u spajanju na email ili FTP server koji koristi certifikat kompatibilan onome koji koristi web stranica.

Obzirom da je domena web stranice ista kao domena na certifikatu email ili FTP servera, preglednik se često spaja na TLS (Transport Layer Security) jednog od tih servera, umjesto na web stranicu koju namjeravate posjetiti.

"Obzirom da preglednik komunicira preko HTTPS-a i email i FTP servera preko SMTP-a, FTPS-a ili drugog protokola, postoji mogućnost da nešto krene u krivo", navode istraživači u izvještaju koji možete pronaći na ovoj poveznici.

Kao primjer navode da bi se dekriptirani autentifikacijski kolačić mogao slati napadaču ili bi se maliciozni kod mogao izvršavati na uređaju posjetitelja.

Prema jednoj novoj studiji, oko 14,4 web servera koristi ime domene koje je kompatibilno s kriptografskim credentialsima email ili FTP servera iste tvrtke ili organizacije, a oko 114.000 stranica se smatra ranjivim jer email ili FTP server koristi softver koji je ranjiv na takve napade.

Njemački istraživači ne znaju koliko ALPACA napadi doista mogu biti opasni, no ako ste server administrator i želite s njima doći u kontakt zbog dodatnih informacija, objavili su svoje kontakt adrese pa ih možete malo "spamati":

  • Marcus Brinkmann, Ruhr University Bochum, @lambdafu, Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
  • Christian Dresen, Münster University of Applied Sciences, @dr4ys3n, Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
  • Robert Merget, Ruhr University Bochum, @ic0nz1, Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
  • Damian Poddebniak, Münster University of Applied Sciences, @dues__, poddebniak@fh-muenster
  • Jens Müller, Ruhr University Bochum, @jensvoid, Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
  • Juraj Somorovsky, Paderborn University, @jurajsomorovsky, Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
  • Jörg Schwenk, Ruhr University Bochum, @JoergSchwenk, Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.
  • Sebastian Schinzel, Münster University of Applied Sciences, @seecurity, schinzel@fh-muenster
Podijeli