Analiza sesji SSL pokazuje lokalizację w Google Maps
Coraz więcej serwisów internetowych umożliwia swoim użytkownikom szyfrowanie każdego połączenia. Jednak czy protokół SSL zapewnia nam 100% prywatności? Badania pokazują, że nie zawsze.
Analiza zaszyfrowanego ruchu już od pewnego czasu budzi zainteresowanie specjalistów do spraw bezpieczeństwa. Badacze wychodzą z założenia, że skoro nie odkryto do tej pory skutecznego ataku pozwalającego w czasie rzeczywistym odszyfrować ruch przesyłany protokołem SSL, trzeba spróbować innego podejścia. Jednym z przykładów takiej analizy jest praca Vincenta Berga z laboratorium IOActive.
Vincent zajął się przykładem usługi Google Maps. Swoje badania oparł na rozmiarze plików PNG przesyłanych przez serwer Google do przeglądarki w ramach sesji HTTPS. Zaczął od zebrania danych dotyczących rozmiarów plików na różnych poziomach zbliżenia w wybranych obszarach mapy. Następnie opracował aplikację, która w oparciu o analizę ruchu dopasowuje rozmiary przesyłanych pakietów do bazy danych i na tej podstawie odgaduje lokalizację wyświetlaną na ekranie. Poniżej zamieszczamy film pokazujący przebieg ataku.
Przykłady podobnych ataków można znaleźć w prezentacji Side-Channel Leaks in Web Applications autorstwa badaczy z Microsoftu. Pokazują oni na między innymi, jak analizując jedynie rozmiary wykresów składu portfela przez kolejne kilka dni, można szczegółowo zidentyfikować aktywa oraz ich udział w tym portfelu. Możemy też się dowiedzieć, że frazy wyszukiwane w serwisie Google mogą być ujawnione poprzez analizę rozmiaru podpowiedzi wysyłanych przez serwer. Wszystkim zainteresowanym tematem polecamy zapoznanie się z całością tej pracy.
Wyniki badań, choć mogą wydawać się niepokojące, nie oznaczają, że szyfrowanie SSL jest nieużyteczne. Wskazują jedynie na możliwe ryzyka i konieczność zapobiegania im w kluczowych zastosowaniach. Wyżej wspomniana prezentacja wskazuje również na metody ograniczenia ryzyka ujawnienia informacji – na przykład poprzez zaokrąglenie rozmiaru odpowiedzi serwera. Wprowadza to dodatkowy zbędny ruch, ale podnosi bezpieczeństwo przesyłanych informacji.
Podobne wpisy
- Jak jedną prostą sztuczką wyłączyliśmy przestępcom proste złośliwe oprogramowanie
- Poważny incydent bezpieczeństwa na uczelniach Collegium Da Vinci i SWPS
- Ocena bezpieczeństwa rozwiązań IT w instytucji finansowej
- Uwaga na kradzież z rachunku „na koronawirusa”
- Analiza złośliwego kodu dla amatorów na świeżym przykładzie – odcinek 2
zerknalem na zrodlo .. i trafilem na przypadkowy zbior chinsko brzmiacych autorow, pracujacych przypadkiem na ssl. Przypadkiem ze zamieszczono to na stronach microsoftowych jest mniejszego kalibru :::::)