Jdi na obsah Jdi na menu
 


Krádež cookie (SideJacking nebo únos), pro normální lidi

23. 11. 2010

Jo, jsou obvykle tyto věci s názvem "pro nechápavé", ale nejste figuríny, pokud nechcete rozumět, že jste normální. To je v souvislosti s programem "Firesheep" a já se pokusí o to velmi snadné porozumět problému. Toto řešení je trochu složitější. To vše přijde až na důvěře a diskrétnosti. Bohužel důvěry část je na straně sociálních sítí a poskytovatelé webmail a jste odpovědný za uvážení.

Představte si, že začnete novou práci s firmou, která používá kartu čtenáři poskytnout přístup do budovy. Při použití a dostat najal společnost identifikuje, kdo jste a dává vám kartu klíč se dostat do budovy. Od té chvíle někdo s vaší cardkey může dostat do budovy, pokud neexistují jiné postupy ověřování, jako např. PIN nebo čtečka otisků prstů. Dalším příkladem, můžete se zaregistrovat na slevu s obchodem. Vyplnění kousek papíru s vaším jménem, adresou a telefonním číslem, a oni vám magnetickou kartu na výpad každém nákupu. Jo, můžeš lhát, ale že karta je vázána na jednu osobu, ale přesto byste mohli dát na někoho jiného nebo by to mohlo být ukradené a používat.

Když se přihlásíte na webové stránky, které vyžaduje uživatelské jméno a heslo, to je, když řeknete, Facebook, Yahoo, Amazon, nebo ten, kdo to je, kdo jste. V tomto bodě stránkách vám cookie. Pro zbytek zasedání stránek je neustále hledá na cookie určit, kdo jste. Pokud někdo jiný soubor cookie webové stránky nebude vědět, ale oni budou věřit, že jste to vy a poskytnout stejný přístup, který již máte. Smysl? Pokud jsem ztratil vás, dejte mi vědět a já vám vymyslet lepší způsob, jak to vysvětlit, ale teď budu předpokládat, že jste to pochopit.

Takže, budeme vybírat na Facebook, protože opravdu nestarám o ochraně osobních údajů stejně. Přihlášení na Facebooku a dát jim své uživatelské jméno a heslo. Facebook vám pošle zpět cookie, že budou neustále používat. Facebooku a zajišťuje, že někdo může používat i cookie. Když jdete dělat komentovat přítele zeď Facebooku bude číst cookie a říkat "ano, my víme, kdo to je" a umožní vám (nebo někdo s vaší cookie) psát komentář. Téměř vše, co (nebo někdo s vaší cookie) se vyžaduje, aby Facebooku a číst cookies, zjistit, že je vám (nebo podvodník) a pak provede váš příkaz.

Tady je místo, kde přichází problém palců Po odeslání své uživatelské jméno a heslo je šifrován. Nikdo jiný nemůže vidět, co to je, ale když Facebooku posílá cookie "nebo čte cookie není šifrována. Ve veřejné kavárně nebo na letišti, nebo mnoho dalších míst, které nabízejí bezplatné WIFI to znamená, že někdo jiný si také přečíst cookie, kopírovat a používat. Cookie je odeslána přes ovzduší s nulovou ochranou. Někdo může zkopírovat a použít ji. Poté, co někdo jiný soubor cookie, které mohou používat jen jako kdyby váš cardkey nebo nakupujících klubové karty. Budou mít přístup k vašemu účtu, poštovní zprávy, jako kdyby jste byli, změnit některé aspekty vašeho profilu, zprávy svým přátelům, a dělat mnoho dalších věcí. Útočník nebude mít své heslo, ale nic jiného můžete dělat bez hesla mohou také dělat.

Tento typ útoku je již dlouho známá, ale Firesheep usnadnil to pro lidi bez technické dovednosti provádět. Problém důvěra je něco, co se na internetových stránkách medvěd. Oni slepě důvěřovat bez druhého znamená ověřování. Pokud cookie musel přijít ze stejné IP adresy, pak se tento typ útoku nebude fungovat. Pokud cookie byl zašifrován pak tento typ útoku nebude fungovat. Ale Facebooku a dalších webů jen pozor, aby soubor cookie je přítomen, a ne kdo je jeho používání, takže útok je velmi efektivní a velmi snadné.

Pokud jde o prostor pro uvážení, který je na vás. Pokud nejste na svém domácím počítači, nikoli pomocí VPN, nebo nepoužíváte SSL (https) po celou dobu práce, pak to není dobrý nápad používat Facebook, Twitter, Yahoo Mail, Live Mail, LinkedIn, nebo většina ostatních stránek. Gmail je výjimka, ale pokud jste měli účet Gmail na dlouhou dobu budete potřebovat, abyste se ujistili, že je pomocí https po celou dobu.

Webové stránky, které vyžadují heslo opravdu potřebujete, aby převzaly odpovědnost a ujistěte se, že jejich akce jsou šifrované, ale to bude nějakou dobu. Musíte předpokládat, že při použití zdarma WIFI vše, co zadat, včetně uživatelského jména a hesla, je stydké informace. Přestože Facebooku šifruje uživatelské jméno a heslo, lame ISP, jako Comcast často nemají.


zdroj: ESET.cz