[1] https://en.wikipedia.org/wiki/HTTP_Secure
- HTTPS-ssl-hacking.jpg (29 KiB) 1891 προβολές
Οι εκρηκτικές αποκαλύψεις για τα προγράμματα μαζικής επιτήρησης που εκτελούνται από κρατικούς φορείς, που αποκάλυψε ο πρώην εργαζόμενος σε ανάδοχη εταιρία για την NSA, Edward Snowden(*), έδωσε το έναυσμα για νέες συζητήσεις σχετικά με την ασφάλεια και την προστασία της ιδιωτικής ζωής του κάθε ατόμου που συνδέεται και επικοινωνεί στο διαδίκτυο. Επίσης οι αποκαλύψεις του Snowden, έφεραν στην επιφάνεια ερωτηματικά σχετικά με την αίσθηση ασφάλειας που υπάρχει με την υιοθέτηση κρυπτογραφημένων επικοινωνιών στο διαδίκτυο, όπως πχ. το SSL[2], για το αν και κατά πόσο η επικοινωνία με τα εν λόγω πρωτόκολλα μέσω του διαδικτύου μπορεί να είναι όντως ασφαλής.
(*) https://en.wikipedia.org/wiki/Edward_Snowden
[2] https://en.wikipedia.org/wiki/SSL
Οι άνθρωποι άρχισαν να φροντίζουν για την προστασία της ιδιωτικής τους ζωής και πολλοί έχουν ήδη αλλάξει μερικές από τις ηλεκτρονικές τους συνήθειες, όπως για παράδειγμα η χρήση του HTTPS αντί του HTTP για το σερφάρισμα στο Internet. Ωστόσο, το HTTPS μπορεί να ασφαλίζει την λειτουργία σε ένα online κατάστημα ή μια τοποθεσία Web ηλεκτρονικού εμπορίου, αλλά αποτυγχάνει ως εργαλείο προστασίας της ιδιωτικής ζωής για τους χρήστες.
Οι Αμερικανοί ερευνητές έχουν βρει σε μια ανάλυση της κυκλοφορίας των δέκα Web sites που χρησιμοποιούν ευρέως το HTTPS για να εξασφαλίσουν τις ιστοσελίδες τους, ότι "εκθέτονται τα προσωπικά στοιχεία και μαζί και η κατάσταση της υγείας, οικονομικά και νομικά θέματα και ο σεξουαλικός προσανατολισμός των χρηστών".
Οι ερευνητές του University of California, Berkeley(*2), ο Brad Miller, A. ο D. Joseph και ο J. D. Tygar και ερευνητές από τα Εργαστήρια της Intel [Intel Labs (*3)], όπως ο Ling Huang, όλοι μαζί σε μια έρευνα με τίτλο "I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis" (PDF[2]), έδειξαν ότι το HTTPS, το οποίο είναι ένα πρωτόκολλο για τη μεταφορά κρυπτογραφημένων δεδομένων στο Web, μπορεί επίσης να είναι ευάλωτο στην ανάλυση της κίνησης (traffic analysis)[4].
(*2) http://www.berkeley.edu/index.html
(*3) http://www.intel.com/content/www/us/en/research/intel-research.html
[3] http://arxiv.org/pdf/1403.0297v1.pdf
[4] https://en.wikipedia.org/wiki/Traffic_analysis
Λόγω των ομοιοτήτων που έχει η ανάλυση τους με την προσέγγιση του μοντέλου Bag-of-Words[5] για να τεκμηριώσουν την ταξινόμησή τους, οι ερευνητές αναφέρονται στην ανάλυσή τους ως μια "Bag-of-Gaussians (BoG).
[5] https://en.wikipedia.org/wiki/Bag-of-words_model
"Η επίθεσή μας εφαρμόζει τεχνικές ομαδοποίησης για την αναγνώριση προτύπων (patterns) στην κυκλοφορία. Στη συνέχεια, χρησιμοποιήσαμε μια Gaussian κατανομή για τον προσδιορισμό της ομοιότητας σε κάθε ομάδα και χαρτογραφήσαμε τα δείγματα της κυκλοφορίας σε μια σταθερού πλάτους παράσταση, συμβατή με ένα ευρύ φάσμα τεχνικών μηχανικής μάθησης", λένε οι ερευνητές.
Ανέφεραν επίσης ότι, "όλοι οι ικανοί αντίπαλοι πρέπει να έχουν τουλάχιστον δύο ικανότητες". Δηλαδή ο επιτιθέμενος πρέπει να είναι σε θέση να επισκεφθεί τις ίδιες ιστοσελίδες, όπως και το θύμα του, και αυτό επιτρέπει στον επιτιθέμενο να εντοπίσει τα πρότυπα σε μια κρυπτογραφημένη κίνηση ενδεικτική των διαφορετικών ιστοσελίδων και "ο αντίπαλος θα πρέπει επίσης να είναι σε θέση να παρατηρεί την κυκλοφορία του θύματος, κάτι που θα του επιτρέψει να ταιριάξει την παρατηρούμενη κίνηση με τα ήδη γνωστά πρότυπα".
Η δοκιμαστική ανάλυση που πραγματοποιήθηκε στη έρευνα, περιλαμβάνει υπηρεσίες υγειονομικής περίθαλψης, νομικές υπηρεσίες, υπηρεσίες του τραπεζικού και χρηματοπιστωτικού τομέα καθώς και το Netflix και το YouTube. Η επίθεση με ανάλυση της κυκλοφορίας κάλυψε 6.000 μεμονωμένες ιστοσελίδες στους δέκα ιστότοπους και κατάφερε να προσδιορίσει μεμονωμένες ιστοσελίδες και να τις ταυτοποιήσει στις ίδιες ιστοσελίδες, με 89% ακρίβεια συνδέοντας τους χρήστες με τις ιστοσελίδες που είδαν.
Ο Snowden είχε αναφερθεί σχετικά με θέμα, είχε πει ότι, "Η κρυπτογράφηση λειτουργεί. Η σωστή εφαρμογή ισχυρών συστημάτων crypto είναι ένα από τα λίγα πράγματα που μπορείτε να βασιστείτε. Δυστυχώς, η endpoint ασφάλεια είναι τόσο τρομερά αδύναμη, που η NSA μπορεί να βρει συχνά τρόπους για να την παρακάμψει". Έτσι, η τεχνική αυτή επιτρέπει στις κρατικές υπηρεσίες να βάλουν στόχο την HTTPS κυκλοφορία για να εξορύξουν μεταδεδομένα με ISP Snooping[6] και Employee Monitoring[7] και τα οποία δεδομένα θα μπορούσαν να τα χρησιμοποιήσουν για σκοπούς επιτήρησης και λογοκρισίας.
[6] https://en.wikipedia.org/wiki/Carnivore_(software)
[7] https://en.wikipedia.org/wiki/Employee_monitoring_software
------------
Από: The Hacker News, "HTTPS can leak your Personal details to Attackers", Thursday, March 06, 2014 by Swati Khandelwal
http://thehackernews.com/2014/03/https-can-leak-your-personal-details-to.html
