Chociaż termin „HTTP Response Splitting” może wydawać się skomplikowany, zasada jego działania jest naprawdę prosta.
Wyobraźmy sobie, że stoimy w kolejce w barze mlecznym. Dochodzimy do lady i zamawiamy lunch, niech to będą tłuczone ziemniaki z sosem. Nagle słyszymy, jak mężczyzna za nami zamawia kanapki z masłem orzechowym i galaretkę. Potem pani przy ladzie wydaje nam kanapki zamiast ziemniaków.
Zasadniczo, zarówno my jak i mężczyzna zamawialiśmy coś, co znajdowało się w karcie dań, wina stoi po stronie Pani ekspedientki. Nie potrafi ona rozróżnić kto, co zamawiał i w jakiej kolejności, więc w wyniku „dowcipu” obaj dostajemy kanapki z masłem orzechowym.
Wracając do naszych inteligentnych urządzeń. Większość kontroli nad nimi wiąże się z posiadaniem aplikacji mobilnej i interfejsem użytkownika. Dlatego wydawanie poleceń nie odbywa się bezpośrednio.
Weźmy przykład, kiedy wydajemy polecenia inteligentnemu odkurzaczowi, aby przesuwał się w lewo lub w prawo za pomocą aplikacji mobilnej. Oznacza to, że aplikacja wysłała przez Internet (w tym przypadku serwer w sieci) zapytanie, które zostanie przekazane do odkurzacza. W ten sposób możemy kontrolować swoje urządzenia z dowolnego miejsca na świecie, bez konieczności przebywania w domu.
Korzyści są oczywiste, jednak nie wszystkie serwery są bezpieczne.
Wtedy do gry wchodzi „HTTP Response Splitting” i przykład naszego baru mlecznego. Serwery potrafią przyjąć odpowiednio sformułowane zapytanie, czyli produkty z karty dań. Jednakże, nie wiedzą jak w bezpieczny sposób wprowadzać te dane i mogą przyjąć „inne zamówienie” niż nasze (w tym wypadku złośliwe polecenie). W rezultacie może to doprowadzić do wykonania złośliwego polecenia i rozesłania wszystkim tej samej odpowiedzi. Wtedy każdy dostanie wspomnianą „kanapkę z masłem orzechowym i galaretkę”.
„Atakujący mogą wykorzystać te luki w zabezpieczeniach HTTP, aby oszukać serwery internetowe, przekierowywać użytkowników na fałszywe strony internetowe, wykorzystać certyfikaty uwierzytelniające, a nawet zdalnie łączyć się z urządzeniem”, komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken, „Ponieważ większość urządzeń typu internet-of-things opiera się na serwerach internetowych, luki te mogą umożliwić cyberprzestępcom złamanie zabezpieczeń IoT podłączonych w naszych domach.” – dodaje.
Podsumowując, ważne jest, aby na bieżąco aktualizować urządzenia za pomocą najnowszych poprawek zabezpieczeń oraz upewnić się, że są podłączone do odpowiednio zabezpieczonej sieci domowej. Na przykład Bitdefender BOX, który jest w stanie wykryć wszelkie przychodzące zagrożenia podczas skanowania ruchu sieci i badanie systemu pod kątem luk.