תקן נפוץ וסטנדרטי באבטחת מידע באינטרנט על מסמכים ועל הודעות שכתובים ב-XML התגלה לאחרונה כבעל פגיעות.התקן מגדיר את הנדרש כדי להצפין תוכן בתוך XML Element.
במאמר שהוצג בכנס ACM CCS2011 פרסמו החוקרים, Tibor Jager ו-Juraj Somorovsky מאוניברסיטת רוהר בוכום בגרמניה התקפה שמדגימה את פרצת האבטחה. בהתקפה מסוגל התוקף לפענח טקסט מוצפן באמצעות שליחת הודעות מוצפנות אחרות לשרות שמממש את התקן. באמצעות כ-14 הודעות בממוצע לכל בית מידע של הטקסט המקורי שהוצפן. הפרצה ממשית ומהווה איום רציני לכל שירות שמממש את התקן (והשימוש בתקן הזה נפוץ ביותר בארגונים ובאינרנט, לרבות מערכות בארכיטקטורה שמכוונת שירותים, SOA).
אני מתכנן לכתוב מאמר בעברית שמסביר ברחל בתך הקטנה את הנושא, את הבעיה, את האפשרויות לצמצם את החשיפה ולהתגבר עליה ועל הבעיה המהותית בתקן ועל התיקונים המתבקשים בו. את המאמר לכשאשלים את כתיבתו אפרסם ככל הנראה ב-DigitalWhisper בעברית.
למאמר הכנס המלא: http://www.nds.rub.de/media/nds/veroeffentlichungen/2011/10/22/HowToBreakXMLenc.pdf
No comments:
Post a Comment