HEIST, nowy sposób przejmowania informacji przesyłanych po HTTPS. Apple uruchomi program bug bounty. Przegląd cybersecurity, 5.08.2016

Świat cyberbezpieczeństwa nigdy nie śpi. Kiedy myślimy, że nasze dane są chronione przez solidne szyfrowanie HTTPS, pojawiają się nowe metody ataku, takie jak HEIST. Jednocześnie giganci technologiczni, tacy jak Apple, wreszcie otwierają się na współpracę z hakerami, oferując nagrody za znajdowanie luk. Zapraszamy na przegląd najważniejszych wydarzeń z początku sierpnia 2016 roku, które pokazują, jak dynamiczna i fascynująca jest walka o nasze cyfrowe bezpieczeństwo.

HEIST: Nowe zagrożenie dla szyfrowanych połączeń

Do niedawna zielona kłódka w przeglądarce była synonimem bezpieczeństwa. Protokół HTTPS miał gwarantować, że nikt nie podsłucha naszej rozmowy z bankiem czy pocztą e-mail. Jednak badacze bezpieczeństwa odkryli nową, niepokojącą technikę ataku o nazwie HEIST (HTTP Encrypted Information can be Stolen Through TCP-windows). To sprytny sposób na... odgadywanie treści zaszyfrowanych danych bez ich łamania.

Jak to działa w praktyce?

Wyobraź sobie, że próbujesz odgadnąć, co jest w zamkniętej paczce, nie otwierając jej. Możesz ją zważyć, potrząsnąć, zmierzyć. Atak HEIST działa na podobnej zasadzie. Wykorzystuje on subtelne różnice w tym, jak przeglądarka internetowa i serwer przesyłają między sobą dane. Atakujący, umieszczając na stronie złośliwy kod (np. w reklamie), jest w stanie precyzyjnie mierzyć rozmiar zaszyfrowanych odpowiedzi serwera na różne zapytania. Choć nie widzi samych danych, po ich rozmiarze może wywnioskować, co się w nich kryje. Na przykład, odpowiedź serwera zawierająca informację "użytkownik nie istnieje" będzie miała inny rozmiar niż ta z danymi osobowymi zalogowanego użytkownika. To atak typu side-channel, który jest niezwykle trudny do wykrycia.

Apple w końcu nagradza za błędy

Przez lata Apple było jedną z niewielu wielkich firm technologicznych, która nie posiadała publicznego programu bug bounty. Oznaczało to, że badacze, którzy znaleźli luki w oprogramowaniu takim jak iOS czy macOS, nie mogli liczyć na oficjalną nagrodę finansową. To podejście uległo zmianie w sierpniu 2016 roku, kiedy firma ogłosiła start swojego programu nagród za błędy.

Początkowo program był dostępny tylko dla zaproszonych badaczy, a nagrody sięgały nawet 200 000 dolarów za krytyczne luki. Dlaczego to tak ważna wiadomość? Uruchomienie programu bug bounty przez Apple to jasny sygnał, że firma docenia pracę niezależnych ekspertów ds. bezpieczeństwa i chce zachęcić ich do etycznego zgłaszania błędów, zamiast sprzedawania ich na czarnym rynku. To krok w stronę większej transparentności i proaktywnego zabezpieczania milionów urządzeń na całym świecie.

Co to oznacza dla zwykłego użytkownika?

Pojawienie się ataków takich jak HEIST i reakcje firm w postaci programów bug bounty pokazują dwie strony medalu cyberbezpieczeństwa. Z jednej strony, żadne zabezpieczenie nie jest wieczne i zawsze znajdą się kreatywne sposoby na jego ominięcie. Z drugiej, świadomość zagrożeń rośnie, a firmy inwestują coraz więcej w ochronę swoich użytkowników.

Co możesz zrobić, aby chronić swoje dane?

• Aktualizuj oprogramowanie: Regularnie instaluj aktualizacje przeglądarki, systemu operacyjnego i aplikacji. Często zawierają one łatki na nowo odkryte luki bezpieczeństwa.
• Bądź świadomy: Zwracaj uwagę na to, jakie strony odwiedzasz i jakie informacje na nich podajesz. Nawet strona z certyfikatem SSL nie jest gwarancją 100% bezpieczeństwa.
• Nie polegaj na jednym rozwiązaniu: Dobre hasła, uwierzytelnianie dwuskładnikowe i ostrożność to warstwy ochrony, które działają razem, aby chronić Twoją cyfrową tożsamość.

Pamiętaj, że w cyfrowym świecie bezpieczeństwo to nie stan, a ciągły proces. Będąc na bieżąco z zagrożeniami i stosując dobre praktyki, znacznie zwiększasz swoje szanse na uniknięcie problemów.