Coraz więcej serwisów internetowych umożliwia swoim użytkownikom szyfrowanie każdego połączenia. Jednak czy protokół SSL zapewnia nam 100% prywatności? Badania pokazują, że nie zawsze.
Analiza zaszyfrowanego ruchu już od pewnego czasu budzi zainteresowanie specjalistów do spraw bezpieczeństwa. Badacze wychodzą z założenia, że skoro nie odkryto do tej pory skutecznego ataku pozwalającego w czasie rzeczywistym odszyfrować ruch przesyłany protokołem SSL, trzeba spróbować innego podejścia. Jednym z przykładów takiej analizy jest praca Vincenta Berga z laboratorium IOActive.
Vincent zajął się przykładem usługi Google Maps. Swoje badania oparł na rozmiarze plików PNG przesyłanych przez serwer Google do przeglądarki w ramach sesji HTTPS. Zaczął od zebrania danych dotyczących rozmiarów plików na różnych poziomach zbliżenia w wybranych obszarach mapy. Następnie opracował aplikację, która w oparciu o analizę ruchu dopasowuje rozmiary przesyłanych pakietów do bazy danych i na tej podstawie odgaduje lokalizację wyświetlaną na ekranie. Poniżej zamieszczamy film pokazujący przebieg ataku.
Przykłady podobnych ataków można znaleźć w prezentacji Side-Channel Leaks in Web Applications autorstwa badaczy z Microsoftu. Pokazują oni na między innymi, jak analizując jedynie rozmiary wykresów składu portfela przez kolejne kilka dni, można szczegółowo zidentyfikować aktywa oraz ich udział w tym portfelu. Możemy też się dowiedzieć, że frazy wyszukiwane w serwisie Google mogą być ujawnione poprzez analizę rozmiaru podpowiedzi wysyłanych przez serwer. Wszystkim zainteresowanym tematem polecamy zapoznanie się z całością tej pracy.
Wyniki badań, choć mogą wydawać się niepokojące, nie oznaczają, że szyfrowanie SSL jest nieużyteczne. Wskazują jedynie na możliwe ryzyka i konieczność zapobiegania im w kluczowych zastosowaniach. Wyżej wspomniana prezentacja wskazuje również na metody ograniczenia ryzyka ujawnienia informacji – na przykład poprzez zaokrąglenie rozmiaru odpowiedzi serwera. Wprowadza to dodatkowy zbędny ruch, ale podnosi bezpieczeństwo przesyłanych informacji.
Komentarz
zerknalem na zrodlo .. i trafilem na przypadkowy zbior chinsko brzmiacych autorow, pracujacych przypadkiem na ssl. Przypadkiem ze zamieszczono to na stronach microsoftowych jest mniejszego kalibru :::::)