piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Podatność urządzeń inteligentnych na ataki: HTTP Response Splitting

    Zobacz również

    Szacunkowo w 2017 roku do Internetu podłączonych było około 8 miliardów urządzeń IoT. Analitycy często podkreślali, że szybki rozwój tego rynku spowoduje większe zainteresowanie hakerów. Dodawali przy tym, że urządzenia są bardzo podatne na ataki, z uwagi na brak odpowiednich zabezpieczeń. Charakter luk jest złożony, ale efekt końcowy pozostaje taki sam: cyberprzestępca. Chociaż termin „HTTP Response Splitting” może wydawać się skomplikowany, zasada jego działania jest naprawdę prosta.

    - Reklama -

     Wyobraźmy sobie, że stoimy w kolejce w barze mlecznym. Dochodzimy do lady i zamawiamy lunch, niech to będą tłuczone ziemniaki z sosem. Nagle słyszymy, jak mężczyzna za nami zamawia kanapki z masłem orzechowym i galaretkę. Potem pani przy ladzie wydaje nam kanapki zamiast ziemniaków.

    Zasadniczo, zarówno my jak i mężczyzna zamawialiśmy coś, co znajdowało się w karcie dań, wina stoi po stronie Pani ekspedientki. Nie potrafi ona rozróżnić kto, co zamawiał i w jakiej kolejności, więc w wyniku „dowcipu” obaj dostajemy kanapki z masłem orzechowym.

    Wracając do naszych inteligentnych urządzeń. Większość kontroli nad nimi wiąże się z posiadaniem aplikacji mobilnej i interfejsem użytkownika. Dlatego wydawanie poleceń nie odbywa się bezpośrednio.

    Weźmy przykład, kiedy wydajemy polecenia inteligentnemu odkurzaczowi, aby przesuwał się w lewo lub w prawo za pomocą aplikacji mobilnej. Oznacza to, że aplikacja wysłała przez Internet (w tym przypadku serwer w sieci) zapytanie, które zostanie przekazane do odkurzacza. W ten sposób możemy kontrolować swoje urządzenia z dowolnego miejsca na świecie, bez konieczności przebywania w domu.

    Korzyści są oczywiste, jednak nie wszystkie serwery są bezpieczne.

    Wtedy do gry wchodzi „HTTP Response Splitting” i przykład naszego baru mlecznego. Serwery potrafią przyjąć odpowiednio sformułowane zapytanie, czyli produkty z karty dań. Jednakże, nie wiedzą jak w bezpieczny sposób wprowadzać te dane i mogą przyjąć „inne zamówienie” niż nasze (w tym wypadku złośliwe polecenie). W rezultacie może to doprowadzić do wykonania złośliwego polecenia i rozesłania wszystkim tej samej odpowiedzi. Wtedy każdy dostanie wspomnianą „kanapkę z masłem orzechowym i galaretkę”.

    Atakujący mogą wykorzystać te luki w zabezpieczeniach HTTP, aby oszukać serwery internetowe, przekierowywać użytkowników na fałszywe strony internetowe, wykorzystać certyfikaty uwierzytelniające, a nawet zdalnie łączyć się z urządzeniem, –  komentuje, Mariusz Politowicz inżynier techniczny Bitdefender z firmy Marken, – Ponieważ większość urządzeń typu internet-of-things opiera się na serwerach internetowych, luki te mogą umożliwić cyberprzestępcom złamanie zabezpieczeń IoT podłączonych w naszych domach. – dodaje.

    Podsumowując, ważne jest, aby na bieżąco aktualizować urządzenia za pomocą najnowszych poprawek zabezpieczeń oraz upewnić się, że są podłączone do odpowiednio zabezpieczonej sieci domowej. Na przykład Bitdefender BOX, który jest w stanie wykryć wszelkie przychodzące zagrożenia podczas skanowania ruchu sieci i badanie systemu pod kątem luk.

    ŹródłoMarken
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    OPPO Find X8 Pro debiutuje w Europie, a wraz z nim ColorOS 15

    OPPO oficjalnie zaprezentowało najnowsze modele z flagowej serii Find – OPPO Find X8 oraz OPPO Find X8 Pro. Model...