کد خبر:1030780
اشتراک گذاری
مرتب‌سازی نظرها براساس:

شادی جاسوسان از حفره امنیتی جدید در فیسبوک و جیمیل

دیمیتریس کاراکاستاس و دیونیسیس زیندروس دو محقق در Black Hat Asia حمله ای موسوم به BREACH را ارتقا دادند که رایج ترین رمزهای وب را می شکند و همچنین چارچوبی را ارائه دادند که به کمک آن هکرهای متمول و جاسوسان تحت حمایت دولت می توانند به جاسوسی در پیام های فیسبوک و همچنین جی میل بپردازند.

به گزارش کلیک، این دو محقق در Black Hat Asia  یک بار دیگر نشان دادند که چگونه با وجود تلاش های بسیار برای مهر و موم کردن بردار حمله که اکنون سه سال از آن می گذرد، ترافیک امن خدمات وبِ محبوب ممکن است در معرض دزدیده شدن قرار گیرد.

حالا جدیدترین از سرگیری توانایی بیشتری دارد: مهاجمانی که از BREACH (شناسایی مرورگر و خروج از طریق فشرده سازی تطبیقی ابر متن) بهینه سازی شده استفاده می کنند قادر هستند نقاط پایانی شلوغ که از رمزهای بلوکی کند استفاده می کنند، از جمله AES 128 bit، را مورد هدف قرار دهند.

این دو محقق بیان می کنند این حمله پانصد برابر سریع تر از حمله اصلی است؛ همسوسازی مرورگر بواسطه یک فاکتور شش(factor of six) افزایش می یابد و این در حالی است که در خواست ها هم اکنون ۱۶ برابر است.

BREACH اصلی عرضه شده در سال ۲۰۱۳ باعث تحسین Black Hat شد که به الگوریتم فشرده سازی داده Deflate  حمله می کند که برای صرفه جویی در پهنای باند در ارتباطات مبتنی بر وب استفاده می شود.

نسخه اصلی به نوعی گسترش نشتی (CRIME (Compression Ratio Info-leak Made Easy) به شمار می آیدکه فشرده سازی درخواست های وب رمزگذاری شده را به چیزی علیه کاربران تبدیل کرد.

Karakostas و Zindros از دانشگاه ملی فنی آتن و دانشگاه آتن، کار خود را در مقاله ای با نام "تحولات علمی جدید در مورد BREACH" توضیح دادند.

آن ها روی سکوی کنفرانس به نمایندگان امنیتی نشان دادند که چگونه مهاجمان می توانند پیام های فیسبوک و نامه های جی میل قربانیان را با استفاده از "چارچوب تخریب" که حمله را آسان تر می کند بخوانند.

انجام یک حمله بازی ساده و بچگانه نیست. زیندروس گفت من فکر می کنم هنگامی که افراد شروع به نوشتن تنظیمات هدف برای نقطه پایانی خاص می کنند، این کار با تعامل تخریب آسان تر است زیرا پیچیدگی حمله را کمتر می کند. اگر می خواهید از تخریب برای هدف قرار دادن یک نقطه پایانی استفاده کنید لازم است در مورد آن کمی مطالعه کنید، یعنی در مورد چگونگی رفتار آن و اینکه چگونه همه چیز را فشرده می کند، آیا شلوغی وجود دارد یا خیر و در آخر آن را تنظیم کنید تا کار کند؛ یعنی دزدن ایمیل های جی میل یا پیام های فیسبوک.

تخریب، اجرای ایده ها، تکنیک های بهینه سازی و تکنیک های آماری ما است و نه اثبات مفهوم. تخریب آماده است تا روی یک سیستم واقعی اجرا شود.

چارچوب متن باز همچنین توسط دانشجویان دکتری این تیم برای هدف قرار دادن آسیب پذیری POODLE توسعه داده شد.

شاید این دو نفر مدیران سیستمی را اندکی نگران کرده باشند اما در آخر تکنیک های ساده ای برای جلوگیری از حمله ارائه دادند.

کوکی های First-Party راه حل این مشکل هستند زیرا امکان استفاده از سرویس هدف گیری شده به عنوان اوراکل فشرده سازی،که از طریق آن اسرار فشرده رمزگذاری شده می تواند به همراه داده های متنی ساده افشا شود را از بین می برد.

توانایی علامت گذاری کوکی ها به عنوان کوکی های First-Party تنها می تواند وجود اوراکل را حذف کند.

هیچ مرورگری پیشنهاد طرح کوکی را پیاده سازی نکرده است اما این دو نفر در حال تشویق برای اتخاذ بدون مجازات آن هستند.

منبع:theregiste

نظرها

سر‌خط آخرین خبرها

خبرهای بیشتر
ویرایش توئیت ها در توئیتر ممکن شد
ویرایش توئیت ها در توئیتر ممکن شد

س از سال‌ها درخواست کاربران از توییتر برای دکمه ویرایش، بالاخره به آرزوی خود...

بهترین قفل های هوشمند موجود در بازار ایران کدام است؟

در سال های اخیر و با ظهور انواع تکنولوژی ‌های جدید، امنیت و زندگی آسوده در...

گروه هکری انانیموس: سایت دانشگاه شریف را هک کردیم

هکرهای گروه انانیموس ساعاتی قبل با انتشار پیامی ویدئویی مدعی شدند، سایت...

ROG Strix GeForce RTX 4090
معرفی قوی ترین کارت گرافیک های گیمینگ در سال 2022

در ماه جاری میلادی، جدیدترین چیپست‌های گرافیکی شرکت انویدیا، سرانجام معرفی...

7 دلیل برای خرید قسطی آیفون 14

مدتی است که جدیدترین سری گوشی‌های اپل یعنی آیفون 14 به بازار عرضه شده است. از...

اعلام نحوه جبران خسارت بسته های اینترنتی اپراتورها در زمان قطعی اینترنت

بر اساس اعلام سازمان تنظیم مقررات و ارتباطات رادیویی، زمان استفاده از...

چطور مصرف برق گوشی، لپتاپ، کامپیوتر و تبلت را کاهش دهیم؟
چطور مصرف برق گوشی، لپتاپ، کامپیوتر و تبلت را کاهش دهیم؟

ما نمی توانیم بدون رایانه های رومیزی، لپ تاپ ها و تبلت ها کار کنیم؛ آنها هر...

دستاورد جدید وزارت ارتباطات | ایران به رتبه دوم فیلترینگ در جهان رسید
ایران به رتبه دوم فیلترینگ در جهان رسید

طبق گزاش وبسایت comparietech ایران در رتبه دوم محدودیت‌های اینترنتی قرار دارد. در...

دولت: ضرر کسب و کارهای آنلاین زیان دیده از قطعی اینترنت را جبران می کنیم!

احسان خاندوزی، وزیر اقتصاد در جمع خبرنگاران از برنامه دولت برای جبران زیان...

جو بایدن: دسترسی ایرانیان به اینترنت را آسان می کنیم

بایدن در نطق جدید خود مدعی شد دسترسی ایرانیان به اینترنت آزاد را آسان خواهند...