На Black Hat сообщили о проблемах безопасности протокола HTTP/2

112

У новой версии протокола HTTP (HTTP/2) имеются четыре «стратегически важных» дефекта, заявили на проходящей в Лас-Вегасе конференции по кибербезопасности Black Hat исследователи из компании Imperva, сообщает Tech Week Europe.

Работы над финальной версией HTTP/2 завершены в феврале 2015, и сейчас популярность протокола растёт. HTTP/2 разрабатывался с целью ускорить веб-связи и сделать их безопаснее, однако обнаруженные уязвимости ставят достижение этих целей под сомнение, считают эксперты.

HTTP/2 – это крупное обновление HTTP (Hypertext Transfer Protocol, протокол передачи гипертекста, с которого начиналась история WWW). Самым распространенным на сегодняшний день стандартом протокола, используемым в мире, является HTTP/1.1 (выпущенный в 1999 году), но 8,7% всех веб-сайтов (около 85 миллионов) уже работают с HTTP/2. Это почти в четыре раза больше, чем было на декабрь 2015 — 2,3%.

Исследователи Imperva Defense Center предупредили, что HTTP/2 представляет новые механизмы, увеличивающие «поверхность атаки» критически важной для работы Сети инфраструктуры. Возможно появление новых типов атак на онлайн-ресурсы.

Общие усовершенствования веб-производительности и специфические улучшения для мобильных приложений, представленные в HTTP/2, потенциально работают на благо интернет-пользователей. Однако широкое одномоментное распространение большого массива нового кода создает прекрасные возможности для злоумышленников, пояснил сооснователь и глава Imperva по телекоммуникациям.

Четыре типа потенциальных атак на сайты, использующие HTTP/2:

1. Атаки «медленного чтения» (slow read), при которых зловредная клиентская программа максимально замедляет «чтение» сайта и тем осложняет доступ к нему других посетителей. Этим достигается эффект, подобный эффекту DDoS-атак.

2. HPACK Bomb — хакер создает небольшое и безвредное с виду сообщение, которое, попав на сервер, разворачивается в гигабайты информации, занимает всю память сервера и тем выводит сайт из доступа.

3. Dependency Cycle Attack – нападение, эксплуатирующее потенциальную уязвимость механизма оптимизации обмена данными между веб-сервером и клиентским софтом.

4. Stream Multiplexing Abuse – механизм мультиплексирования (передачи в одном канале) различных потоков данных также уязвим, и эксплуатация такой уязвимости может привести к отказу веб-сервера.