Ειδικοί σε θέματα διαδικτυακής ασφάλειας προειδοποιούν για μια νέα απειλή που ελλοχεύει στο internet κι έχει τη μορφή ενός website bug. Ο κίνδυνος εντάσσεται στην κατηγορία cross-site request forgery [CSRF] κι έχει ήδη επιβεβαιωθεί σε τέσσερις τουλάχιστον περιπτώσεις. Σε μία από αυτές τις περιπτώσεις, οι ερευνητές διαπίστωσαν σημαντικό κενό ασφαλείας στην ιστοσελίδα του ασφαλιστικού κολοσσού ING.
- Οι επιθέσεις CSRF λαμβάνουν χώρα όταν μια ιστοσελίδα εκτελεί μια εντολή, δίχως πρώτα να βεβαιωθεί ότι η εντολή αυτή έχει ζητηθεί από τον εκάστοτε χρήστη. Έτσι, οι επιτήδειοι μπορούν να εκμεταλλευτούν την ατέλεια εισάγοντας κώδικα στην ιστοσελίδα που πραγματοποιεί την επίθεση, με αποτέλεσμα ο browser να στέλνει εντολές σε μια ιστοσελίδα, όπως αυτή της ING. Σε αυτήν την περίπτωση, το site της ING εκτελεί την εντολή που έλαβε από τον browser, θεωρώντας ότι την έχει δώσει ο χρήστης.
Η επίθεση πραγματοποιείται τόσο από τον Internet Explorer, όσο και από τον Firefox, ενώ το πρωτόκολλο secure sockets layer [SSL] φέρεται να βεβαιώνει ότι η εντολή έχει προέλθει από το χρήστη και όχι από κακόβουλο κώδικα, αδυνατώντας έτσι να τη σταματήσει.
Η περίπτωση της ING κρίνεται ως ιδιαιτέρως σοβαρή, καθώς το bug μπορεί να αξιοποιηθεί για μεταφορά κεφαλαίων ή δημιουργία νέων λογαριασμών. Εν τω μεταξύ, το ίδιο bug έχει εντοπιστεί και στις ιστοσελίδες των New York Times, του YouTube και του MetaFilter, όπου χρησιμοποιείται για την άντληση στοιχείων και ενέργειες σχετικά με τις διευθύνσεις και του λογαριασμούς των χρηστών.
Σοβαρό κενό ασφαλείας σε ιστοσελίδες
Τετάρτη, Οκτωβρίου 01, 2008
bug
,
CSRF
,
Firefox
,
freegr.gr
,
internet
,
internetexplorer
,
software
,
SSL
0 Post a Comment:
Δημοσίευση σχολίου