Darmowe programy do pobrania:

Już teraz pobierz za darmo dobre programy, które dla Ciebie wybraliśmy:

Dobry Darmowy Avast Antywirus

Dobry Darmowy Antywirus Avast
Świetny darmowy antywirus do pobrania
Pobierz Avast <

 Darmowy Antywirus AVG

AVG Darmowy Antywirus
Bardzo dobry antywirus AVG Free
Pobierz AVG <

Adobe Flash Player do pobrania

Adobe Flash Player
Nowy Adobe Flash Player do pobrania
Pobierz Adobe Flash Player <

Skype pobierz

Komunikator Skype
Rozmawiaj za darmo przez nowe Skype
Skype Pobierz <

Google Chrome

Google Chrome
Nowa wersja przeglądarki Google Chrome
Pobierz Google Chrome <

Pobierz darmową Automapę

Darmowa Automapa
Nowa wersja Automapy do pobrania
> Pobierz darmową Automapę <

 

Szukaj:

Luka w Nasza-klasa.pl - są powody do obaw?

 
Luka w Nasza-klasa.pl - są powody do obaw?

Do redakcji Dziennika Internautów trafiło zgłoszenie dotyczące eksperymentu, który umożliwił manipulowanie kontami użytkowników zarejestrowanych w serwisie społecznościowym Nasza-klasa.pl. Czytelnik podpisujący się jako Silent Traveller 007 przedstawił nam szczegółowy opis ataku z użyciem ciasteczek (ang. cookies). Zwróciliśmy się do kilku ekspertów od bezpieczeństwa z prośbą o komentarz.

Do eksperymentu użyto kilku komputerów wyposażonych w Windows XP, Windows Vistę, Ubuntu 7.04, Ubuntu 8.04 oraz środowisko wirtualne VirtualBox. Ze względu na uproszczoną procedurę obsługi ciasteczek Czytelnik posłużył się przeglądarką internetową Opera. Pomocny okazał się też analizator sieciowy Wireshark (nie jest niezbędny do przeprowadzenia ataku).

Po konsultacji z firmą G DATA, producentem oprogramowania zabezpieczającego, zdecydowaliśmy się nie podawać zbyt wielu technicznych szczegółów wykorzystania luki. Zanim wysłaliśmy zapytanie do ekspertów, przeprowadziliśmy w redakcji kilka testów, które potwierdziły podatność strony na opisywany błąd.

"Mam ciacho i nie zawaham się go użyć"

Silent Traveller 007 tłumaczy: Jak wchodzisz na Nasza-klasa.pl to tworzone jest ciasteczko sesji. Wciśnięcie opcji SSL jedynie przełącza na bezpieczną funkcję logowania, jednakże autoryzacja dotyczy pierwotnego ciasteczka uzyskanego bez szyfrowania (uwierzytelnione zostanie ciasteczko z sesji początkowej!). Testy przeprowadzane były z użyciem bezpośredniego połączenia https://ssl.nasza-klasa.pl/login

Co można zrobić po przejęciu cudzego ciasteczka? W pliku, który otrzymaliśmy od naszego informatora, czytamy: Ciasteczko kopiujemy do drugiego komputera (technika dowolna), czasem trzeba użyć "pośredniej" aplikacji - jak edit czy notepad. (...) podmieniamy ciasteczko dla Nasza-klasa.pl i reload ;) - "jak nie spartolisz, to masz dostęp". TADA... i teraz możesz: poczytać pocztę, zmieniać opisy, kopiować zdjęcia, pisać na forach. Nie możesz usunąć konta, bo trzeba znać hasło!

Zapytaliśmy Czytelnika, czy poinformował o swoim odkryciu twórców serwisu Nasza-klasa.pl. Silent Traveller 007 odpisał: Tak. Informacja oficjalnie przekazana została na początku sierpnia 2008 z wykorzystaniem formularza kontaktowego "Pomysły, Sugestie i Uwagi" - bez żadnego odzewu :( Niejednokrotnie informacja na temat ciasteczek i SSL pojawiała się na Forum. Niestety bez reakcji portalu.

Administracja portalu wie o luce, ale...

Dziennik Internautów zwrócił się do Naszej-klasy.pl z prośbą o skomentowanie zaistniałej sytuacji. Dostaliśmy potwierdzenie, że opisywany wyżej błąd jest znany administracji serwisu. Nasi programiści pracują nad załataniem tej luki. Nie jest to jednak krytyczny błąd systemu - odpowiedział Bartek Szambelan, Dyrektor Działu PR. - Proszę pamiętać, że jesteśmy obecnie jedynym serwisem społecznościowym, w którym logowanie może odbywać się za pośrednictwem szyfrowanego połączenia SSL.

W dalszej części listu czytamy: Aby przejąć sesję Użytkownika, musi wystąpić kilka niezależnych od siebie okoliczności. Przede wszystkim "podsłuchać" naszą sesję może osoba będąca między naszym komputerem a NK, czyli administrator naszej sieci bądź dostawca internetowy. Oprócz tego przejęcie sesji sposobem opisanym przez Panią jest możliwe tylko i wyłącznie w czasie rzeczywistym (Użytkownik zalogowany do NK), po wylogowaniu Użytkownika nawet przejęta sesja traci swoją ważność.

W naszych zabezpieczeniach stawiamy przede wszystkim nacisk na ochronę hasła - poinformował Bartek Szambelan, podkreślając, że podczas logowania do serwisu hasła użytkowników przesyłane są za pomocą zaszyfrowanego protokołu SSL. - Obecnie żaden z serwisów społecznościowych czy to portali horyzontalnych nie daje nawet takiego zabezpieczenia jak NK.

Co na to ekspert?

Swoją opinią na temat opisywanej luki podzielił się z nami Michał Piszczek, Kierownik Działu Programistów w firmie ESC S.A. Kraków: Zaprezentowana podatność nie jest niczym nowym. Nie określiłbym jej jako krytyczną, a raczej jako powszechną, zwłaszcza w kontekście dopuszczania przez portale automatycznego logowania z dynamicznych adresów IP. Znamy ten atak w różnych odmianach pod nazwą przejęcie sesji. Uszczegóławiając opisywany przypadek, jest to przejęcie sesji przez przechwycenie ciasteczka sesyjnego.

Podczas logowania serwer generuje w ciasteczku losowy identyfikator sesji. Jeśli logowanie się powiedzie, ID sesji jest uznawany przez serwer za "wiarygodny" - uzyskujemy dostęp do konta. Stan zalogowania trwa, dopóki identyfikujemy się witrynie właśnie wygenerowanym ciasteczkiem. W pewnych szczególnych okolicznościach przejęcie takiego "wiarygodnego" ciastka oznacza przejęcie tożsamości osoby, która je wygenerowała - tłumaczy ekspert.

Dlaczego Nasza-klasa.pl godzi się na taką podatność? Michał Piszczek podaje dwie najbardziej prawdopodobne przyczyny: Po pierwsze opisany atak łamie polskie prawo (Art. 267. kk). Aby przejąć czyjeś ciasteczko, musimy albo je wykraść fizycznie z komputera, albo przechwycić transmisję między klientem a serwerem (sniffing). Po drugie. Dobrą metodą zabezpieczenia mogło by być przechowywanie i kontrolowanie w sesji informacji dokładniej identyfikujących użytkownika (adres IP, ciąg identyfikujący przeglądarkę etc.).

Takie zabezpieczenie zdecydowanie zwiększyłoby bezpieczeństwo. Jednak stwarza ono kilka niedogodności. W przypadku dynamicznych adresów IP (np. Neostrada) lub źle skonfigurowanego load balancingu użytkownik byłby co kilka kliknięć wylogowywany z serwera. Z całą pewnością programiści NK wiedzą od dawna o tym błędzie. Dlaczego więc wskazana przez Silent Travellera 007 podatność dalej funkcjonuje? Jest to niestety decyzją biznesową portalu Nasza-klasa. Kompromis między bezpieczeństwem a ........... .

Kolejna możliwość ataku

Kończąc swoją wypowiedź, Michał Piszczek dodaje: Podczas analizy zgłoszenia na prośbę redakcji Dziennika Internautów natrafiłem na pewną przeoczoną prze Silent Travellera 007 bardzo groźną lukę bezpieczeństwa. Jest to pewna odmiana ataku zaproponowanego przez Silent Travellera 007. Co ciekawe, atak ten nie wymaga łamania prawa ze względu na odwrócenie ról ofiary i intruza! Jest to pewna odmiana Cookie Session Fixation. Dlatego bezwzględnie zalecam usuwanie ciastek ZARÓWNO PRZED, jak i po pracy w miejscach typu kawiarenka internetowa.

G DATA zaleca najwyższą ostrożność

O wypowiedź poprosiliśmy też ekspertów firmy G DATA - prezentują oni trochę inne podejście do opisywanego przez nas problemu. Problem wynika z błędnej implementacji procesu logowania SSL. Nie jest tak, że protokół SSL, czyli popularna żółta kłódeczka, zabezpiecza nas przez kradzieżą tożsamości. Analiza przeprowadzona przez specjalistów G DATA Software wykazała poważne luki w procesie implementacji bezpiecznego logowania - poinformował nas Tomasz Zamarlik.

- Ciasteczko sesji uwierzytelniającej jest przesyłane połączeniem niezaszyfrowanym, mimo że przechodzimy na stronę SSL, na której podajemy login i hasło. W momencie gdy ktoś o złych zamiarach przechwyci nasze ciasteczko sesji uwierzytelniającej, to uzyskuje tym samym dostęp do wszystkich naszych danych, może czytać naszą pocztę, komentować, zmieniać ustawienia, słowem robić wszystko poza zmianą hasła.

Okazało się, że zamykanie przeglądarki za pomocą przycisku x bez wylogowywania się z portalu powoduje, że niezaszyfrowana sesja jest dalej dostępna i umożliwia nieautoryzowany dostęp do danych. Podsumowując, używanie bezpiecznego połączenia SSL w chwili obecnej nie chroni naszych danych. G DATA Software sugeruje nie logowanie się na profil użytkownika do czasu usunięcia problemu - napisał Tomasz Zamarlik.

Data dodania:
07.10.2008 15:58, przez:
Czytano:
4937 razy
Ocena:
Gwiazdka AktywnaGwiazdka AktywnaGwiazdka AktywnaGwiazdka AktywnaGwiazdka Nieaktywna
- Bardzo dobry (4/5)   Liczba ocen: 10
Twoja ocena:
Gwiazdka NieaktywnaGwiazdka NieaktywnaGwiazdka NieaktywnaGwiazdka NieaktywnaGwiazdka Nieaktywna
 
[14]

Yanosik 3.5.3.1

Darmowa nawigacja i legalny antyradar w jednym. Polecam!

[5]

DWG TrueView 2018

Darmowe narzędzie do przeglądania projektów w formacie D...

[3]

Subiekt GT 1.56

Popularny system obsługi sprzedaży dla małych oraz średn...

[3]

Skype 4.3.0.37-1 dla Linuksa

Bardzo dobry komunikator internetowy dla systemów linuks...

[3]

SUPERAntiSpyware Free 6.0.1222

Darmowy program usuwający z systemu wszelkiego rodzaju s...

[3]

ProduKey 1.85

Jest to bardzo małe, darmowe narzędzie pokazujące Produc...

[3]

Avast Clear 10.3.2223

Aplikacja usuwa wszelkie pliki związane z programem Avas...

[3]

DC++ 0.868

Open Source`owa wersja klienta protokołu Direct Connect

[3]

BadCopy Pro 4.10

Narzędzie służące do odzyskiwania utraconych danych z wi...

[3]

Ashampoo Photo Commander 12.0.13

Pakiet oprogramowania przeznaczony dla Twojej kolekcji f...

 
 
update
05.03.2022

Darmowy program do pobierania plików video z ser...

update
21.11.2019

Popularny system obsługi sprzedaży dla małych or...

update
17.11.2019

Pobierz dobry darmowy komunikator i rozmawiaj za...

update
12.11.2019

Darmowy odtwarzacz multimedialny o dużych możliw...

update
11.11.2019

Aktualna wersja popularnego pakietu graficznego ...

update
11.11.2019

Darmowy, ale bogaty w funkcjonalności program op...

update
11.11.2019

Ściąga pliki z serwisu YouTube i zapisuje je na ...

update
11.11.2019

Pakiet narzędzi służących do konwersji plików au...

update
11.11.2019

Najnowsza stabilna wersja świetnej przeglądarki ...

update
03.11.2019

Nowa wersja Darmowej Automapy 2018 do pobrania

 

Otrzymane hasło:

Informacje:

49 870 299
Liczba pobrań:
1 396 
Liczba plików:
Administrator serwisu nie jest autorem udostępnianych programów i nie ponosi żadnej odpowiedzialności wynikającej z ich użytkowania.
Na naszej stronie nie można kupić żadnego programu. Udostępniane są tu jedynie bezpośrednie linki do aktualnych wersji plików.

Wszelkie prawa zastrzeżone. Ochronie prawnej podlegają rozwiązania programistyczne, teksty, grafiki oraz inne materiały
dostępne na stronie, a także cała szata graficzna serwisu. Korzystanie ze strony oznacza pełną akceptację Regulaminu.