Питер Вуд из First Base Technologies заявил вчера во время своего доклада на
конференции Infosecurity 2009, что уязвимость в реализации интернет-доступа
через безопасный протокол HTTPS в некоторых системах интернет-торговли ставит
под угрозу компрометации данные о кредитных картах клиентов.
Пользователи понимают, что они должны оставлять данные кредитных карт только
на тех сайтах, которые обеспечивают шифрование передачи сведений с помощью HTTPS,
однако в First Base Technologies выявили утечку на некоторых использующих HTTPS
сайтах, которая делает шифрование бесполезным.
Утечка связана с cookie. Обычно они используются для того, чтобы не требовать
от пользователя аутентификацию каждый раз, когда он получает доступ к серверу.
Однако до тех пор, пока куки HTTPS-сессии не помечены как "безопасные", данные
передаются в открытом виде и могут быть перехвачены хакером.
Проблема здесь кроется не в самой структуре сессии HTTPS, а в сайтах
магазинов, онлайн-каталоги которых обычно основаны на HTTP и поддерживают
мультисессии, тем самым позволяя пользователю заходить на веб-сайт более одного
раза. И когда они объединяются с токеном HTTPS-сессии, который не помечен как
безопасный, хакер может притвориться авторизованным пользователем и зайти на
сайт, используя тот же токен.
Вуд предупредил, что такой метод атаки может быть применен даже для
компрометации более серьезной защиты, например системы двухфакторной
аутентификации RSA SecureID. По его словам, если ты используешь RSA, то ты
вынужден требовать от сервера, чтобы он генерировал безопасные куки, иначе хакер
сможет перехватить токен с помощью атаки "man in the middle". И если токен будет
перехвачен, злоумышленник получит тот же доступ к сведениям и приложениям
интрасети, что и его жертва. Более того, токен может быть впоследствии
декомпилирован, а принципы его генерации изучены, что может привести к
компрометации корпоративной системы двухфакторной идентификации.
По мнению Питера Вуда, защитить пользователей сайт может, лишь правильно
маркируя HTTPS-куки. Он полагает, что хакеры уже ранее использовали обозначенную
им брешь для кражи данных кредитных карт.