HEIST می‌تواند عامل سرقت اطلاعات رمزشده باشد
حمله جدیدی که پروتکل SSL را بی‌اثر می‌کند
به تازگی تکنیکی توسط کارشناسان دنیای امنیت شناسایی شده است که به هکرها اجازه می‌دهد با استفاده از این تکنیک حملاتی را پیرامون SSL/TLS و دیگر کانال‌های امن پیاده‌سازی کنند. جالب آن‌که این حمله صرفا در مرورگر انجام می‌شود. ماحصل این حمله به سرقت رفتن ایمیل‌های رمزنگاری شده، شماره‌های تامین اجتماعی و هرگونه داده‌های حساس است.

سوء استفاده از اسکیمای رمزنگاری HTTPS به این شکل انجام می‌شود که محتوای مخرب در قالب یک فایل جاوااسکرپیت در پس‌زمینه تبلیغات اینترنتی یا به‌طور مستقیم درون یک صفحه وب پنهان‌ گشته و کاربران را فریب می‌دهد. متی ونهاف و تام ون گوتن دو دانشجوی مقطع دکترای دانشگاه لوون بلژیک، موفق شده‌اند این چنین حمله‌ای را شبیه‌سازی کرده و آن‌را HESIT نام‌گذاری کنند.

این حمله به منظور بهره‌برداری از آسیب‌پذیری‌های موجود در پروتکل‌های شبکه بدون آن‌که یک ترافیک واقعی به شبکه وارد شود، به مرحله اجرا درآمده است. نتایج یافته‌های این دو کارشناس امنیتی در کنفرانس کلاه سیاه که هفته گذشته در ایالات متحده برگزار شد، در معرض دید همگان قرار گرفت. این تحقیق نشان داد، چگونه یک حمله‌ کانال جانبی (side channel) این قابلیت را دارد تا روی پاسخ‌هایی که در سطح پروتکل TCP فرستاده می‌شود، اثرگذار باشد. به‌طوری که به واسطه آن یک پیام متنی ساده دریافت شود. این دو پژوهش‌گر در این ارتباط گفته‌اند: «حملات مبتنی بر فشرده‌سازی (Compression-based) همچون CRIME و BREACH اکنون این پتانسیل را دارند تا از طریق هر سایت یا اسکرپیت آلوده‌ای تنها در یک مرورگر به مرحله اجرا درآیند، بی آن‌که هکر نیازی داشته باشد تا به ترافیک شبکه دست پیدا کند.» این تکنیک باعث می‌شود تا هکر بدون نیاز به پیاده‌سازی یک حمله Man in the middle  کاربران را از طریق یک سایت آلوده قربانی ساخته و اطلاعات حساس را با نفوذ به سرویس‌ها و سایت‌ها از هدف‌های مشخصی ربایش کند. 

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟