کمیته رکن چهارم – محققان امنیتی بهمنظور شناسایی و شنود ترافیک HTTP2 که استاندارد جدید HTTP است، از حمله اثرانگشت (Fingerprint attack) استفاده میکنند.
پروتکل HTTP2 نسخه جدید HTTP است که نحوه انتقال این پروتکل را دگرگون میکند. با استفاده از این پروتکل، ترافیک کاملاً دودویی (Binary) شده و شامل ارتباطهای تی.سی.پی (TCP)، استریم و فریم میشود؛ بدین ترتیب دیگر از ترافیک ساده متنی خبری نخواهد بود. هماکنون بیش از ۲۴۰ هزار دامنه شامل گوگل، آمازون و ویکیپدیا پشتیبانی از HTTP2 را اعلام کردهاند.
بهمنظور ایجاد سازگاری HTTP2 با نسخه قدیمی، باید کدهایی پیادهسازی شود تا ویژگیهای نسخه HTTP2 پشتیبانی شود؛ بدین ترتیب شرایطی ایجاد میشود که میتوان ترافیک را شنود کرد.
حمله اثرانگشت به معنی شناسایی نوع ترافیک بدون نیاز به شکستن الگوریتم رمزنگاری است. مناسبترین مثال برای این حمله شناسایی ترافیک تور (Tor) در میان انبوه ترافیکهای اینترنتی است.
در اثر پیادهسازی حمله اثرانگشت، اطلاعات مهمی از لایههای مختلف شبکه مانند انتقال (transport)، نشست (session) و کاربرد (Application) به دست میآید. این اطلاعات نتایجی مانند نوع سیستمعامل کاربر، مدتزمان فعال بودن سیستم و نوع مرورگر را مشخص میکند.
در ارتباط کلاینت با سرور تنظیمات مختلفی مانند SETTINGS frame، WINDOW_UPDATE frame و PRIORITY frame ثبت میشوند. این تنظیمات بهصورت یک تاپل یعنی P[,] ذخیره میشوند که بهصورت کلید و مقدار است. در شکل قبلی کلید و مقدار مطابق جدول ذیل ایجاد میشود.
اطلاعات این جدول و دیگر اطلاعات یک رشته ایجاد میکند که درنهایت مطابق رشته زیر است:
با توجه به موارد بررسیشده، میتوان کلاینتهای مختلف را فارغ از نوع ارتباط رمز یا غیر رمز، از یکدیگر متمایز کرد و بستر مناسب بهمنظور پیادهسازی حملههای دیگر را فراهم کرد.
منبع : سایبربان
