Najlepsze techniki hakerskie 2010 roku - top 10
- 25.01.2011, godz. 15:34
Atak grożący bezpieczeństwu internetowych transakcji bankowych został uznany "numerem 1" wśród nowych technik hakerskich zaprezentowanych w 2010 r.
Polecamy:
Zobacz także:
- Teraz łatwiej usuniesz superciastka flashowe (LSO)
- Chroń prywatność - rozszerzenia dla przeglądarki Firefox
- Facebook - jak chronić swoją prywatność?
Więcej informacji:
Jury uznało, że tytuł najlepszej techniki hakerskiej 2010 r. należy się atakowi Padding Oracle Crypto Attack. Polega on na wykorzystaniu luk w mechanizmie środowiska Microsoft ASP.NET, służącym do ochrony ciasteczek przechowujących dane szyfrowania AES.
Zobacz również:
Jeśli dane szyfrowania w pliku cookie zostały zmienione, ASP.NET przetwarza je tak, że aplikacja może w niezamierzony sposób udostępnić wskazówki, jak odszyfrować ruch sieciowy. Wystarczająco duża liczba zmian w ciasteczkach i ilość informacji wysyłanych przez aplikację mogą pomóc włamywaczowi ustalić, które z możliwych bitów można wyeliminować z klucza szyfrującego. To z kolei zmniejsza liczbę nieznanych bitów tak, że łatwo je odgadnąć.
Autorzy ataku - Juliano Rizzo i Thai Duong - opracowali specjalne narzędzie służące do przeprowadzenia ataku.
Pozostała dziewiątka topowych technik hakerskich AD 2010 przedstawia się następująco:
2. Wieczne ciasteczka, evercookies (Samy Kamkar) - JavaScriptowe API, które tworzy ciasteczka służące identyfikacji internautów oraz zapobiega ich usuwaniu (wykrywa fakt usunięcia pliku cookie i przywraca go).
3. Zhakowane autouzupełnianie (Jeremiah Grossman) - jeśli funkcja autouzupełniania formularzy na stronach WWW, oferowana przez przeglądarki internetowe, jest włączona, skrypt na niebezpiecznej witrynie może zmusić przeglądarkę do wypełnienia formularza danymi użytkownika, składowanymi na komputerze.