11:26
9/9/2016

Advertisement

Jeden z czytelników podesłał nam namiar na taką stronę: hxxps://accessurl.com/. Reklamowana jako “udostępnij swoje konto Netflix znajomym, bez dawania im loginu i hasła”. Udostępniający instaluje plugin, który odczytuje ciastka, szyfruje je, tworzy unikatowy link i wysyłając ten link jakiejś osobie, transferuje się ją do naszego konta. Mówiąc wprost, ktoś stworzył narzędzie do prostego autowykradania sobie ciasteczek i autosetupowania ich po stronie “atakującego” (tu: osobie, której udziela się dostępu do konta).

Jest jeden plus takiej usługi. Niektóre serwisy, aby z nią walczyć pewnie zaczną niebawem wiązać sesję z fingerprintem przeglądarki, albo adresem IP (co może być bardzo zdradliwe). Bezpiezeństwo pójdzie w górę, tak jak poszło po publikacji dodatku Firesheep. Pamiętacie, że jeszcze 5 lat temu, większość stron nie szyfrowała ruchu? A potem przyszedł Firesheep …i się zaczęło. A ci co Firesheepa zignorowali, dwa lata później dostali Snowdenem po oczach ;)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

18 komentarzy

Dodaj komentarz
  1. > Jest jeden plus takiej usługi. Niektóre serwisy, aby z nią walczyć pewnie zaczną niebawem wiązać sesję z fingerprintem przeglądarki, albo adresem IP

    Nie wiem co w tym takiego pozytywnego. W większości wypadków to nic innego tylko poważna upierdliwość, gdy każda aktualizacja albo przełączenie IP wyloguje cię z usługi. To mogło się jeszcze sprawdzić 10 lat temu, teraz tylko ktoś oderwany od rzeczywistości wprowadzałby takie obostrzenia do zwykłej klienckiej usługi. Zwłaszcza że każdy zainteresowany i tak by to obszedł przez modyfikację nagłówków i wspólny VPN.

    • Niestety muszę się zgodzić. Bezpieczeństwo jest ważne, ale uważam też, że musi być równowaga między tym, a wygodą użytkowania.
      Ciągłe wyrzucanie z usług spowoduje, że zaraz powstaną narzędzia do prostego autologowania i wykradanie haseł zaraz stanie się jeszcze prostsze. Podnosząc bezpieczeństwo do skali upierdliwości w dłuższej perspektywie obniżymy bezpieczeństwo.

    • Musiałbyś jeszcze mieć takie użytkownika, który jest z tobą we wspólnym VPN… Co jest w zasadzie niepraktyczne (jak ktoś już kradnie sesję, to raczej nie z kompa, do którego może po prostu podejść i w nim grzebać).

      A numer IP się prawie nie zmienia w danym miejscu. Nawet Neostrada z tego co wiem nie zmienia już tak często jak kiedyś. W kablówkach IP zwykle zmienia się raz lub parę razy w roku.

    • Neostrada nadal zmienia co max 24h. Ipki się powtarzają ale na pewno nie od razu.

    • @Nux

      Ja nie mówię o atakach. Ta strona i wtyczka służy do wymiany ciasteczek i współdzielenia kont do usług. Jeśli usługodawca spróbuje się przed nią zabezpieczyć poprzez wykrywanie zmian IP i fingerprinta przeglądarki, rynek zwyczajnie się do tego dostosuje, bo obejście takiego zabezpieczenia jest banalnie proste i osoby chcące dzielić konta dalej będą to robić. Wprowadzanie dodatkowych obostrzeń nie zwiększy więc bezpieczeństwa i nie zabezpieczy przed takimi nadużyciami. Jest po prostu bezcelowe.

      Ja na laptopie zmieniam IP kilka razy w tygodniu. Na telefonie już nawet nie będę mówił. Tak jak mówiłem – to o czym mówisz może miałoby sens 10 lat temu, ale mamy już 2016 rok, urządzenia nie są przykute do biurka i jednego IP.

    • @rob006 Nie są? No to poczekaj tylko na upowszechnienie się IPv6 :)

    • Mówisz o tym IPv6, które upowszechnia się już od 20 lat i wciąż praktycznie nie istnieje w kontekście końcówek klienckich? Już zaczynam wątpić, że dożyję tego momentu kiedy IPv6 trafi pod strzechy :D

    • Nie zmienisz sobie IP w sposób kontrolowany. Musiałbyś się włamać do czyjejś podsieci. Blokadę sesji na IP nie jest tak łatwo obejść jak twierdzisz.

      Faktycznie Neo jednak zmienia się co 24h (nie można już sobie łatwo tego wymusić, ale rzeczywiście zmienia się często). To jednak nie wyklucza ograniczania sesji na IP. Zawsze można ograniczyć sesję na zakres IP co nieco utrudni jej wykradzenie.

      Można też zapisywać nowe IP użytkownika i jeśli różni się znacząco, to poprosić o ponowne logowanie. Facebook robi coś takiego, chociaż zwykle prosi o ponowne logowanie w innym kraju.

    • @Nux

      > Nie zmienisz sobie IP w sposób kontrolowany.

      Rozumiem że nigdy nie słyszałeś o czymś takim jak VPN albo proxy?

    • @rob Jakbym tak trolował jak Ty, to bym spytał, czy Ty wiesz to co jest VPN ;-P. Ale… Jak już mówiłem – musiałbyś mieć tą osobę w swoim VPN, czyli zmienić jej IP, co oczywiście jest możliwe, ale nie trywialne.

    • @Nux
      Jakbyś z łaski swojej zaczął czytać moje komentarze to już byś wiedział, że zarówno w przypadku sytuacji, o której ja mówię (2 osoby chcą współdzielić konto i chcą świadomie mieć jedno IP aby obejść taką super zaawansowaną blokadę), jak i o sytuacji o której ty (chyba, bo niby odpowiadasz na mój komentarz, a mówisz o czymś zupełnie innym…) mówisz (atakujący X chce przejąć konto ofiary Y, która zainstalowała sobie złośliwe rozszerzenie), wymuszenie współdzielenia IP jest jak najbardziej wykonalne i wcale nie tak skomplikowane. Koniec, kropka.

  2. Przestępca ukradnie ofierze sesję, przez wspólny VPN? A fingerprinting to dużo więcej niż nagłówki przeglądarki.

    (Nie mówię że to nie jest upierdliwe, ale bezpieczeństwo zwiększa).

    • Wspólny VPN pozwoli obejść wygasanie sesji z powodu zmiany IP przy współdzieleniu konta. A im więcej zmiennych składa się na fingerprint, tym wygasanie sesji jest częstsze i bardziej upierdliwe.

      Nie wiem też o jakim bezpieczeństwie mówisz – ta strona wymaga zainstalowania specjalnego rozszerzenia, które wykrada ciasteczka. Jeśli ktoś robi coś takiego, to jedyny sposób aby pomóc takiej osobie jest zabranie jej komputera.

    • Ale to Ty pisałeś o bezpieczeństwie (“Nie wiem co w tym takiego pozytywnego”), ja tylko odpowiadałem. A Ty odpowiadałeś z kolei na “Jest jeden plus takiej usługi. Niektóre serwisy, aby z nią walczyć pewnie zaczną niebawem wiązać sesję z fingerprintem przeglądarki”.

      Po prostu wiązanie sesji z przeglądarką broni po części przed kradzieżą sesji, i o to mi chodziło. Wiadomo że jak ktoś z własnej woli instaluje taki program to nie problem bezpieczeństwa.

    • Ja zmierzam do tego że takie rozwiązanie praktycznie nie zwiększa bezpieczeństwa i nie rozwiązuje żadnego problemu. Bo jednym zagrożeniem w tym wypadku jest głupota użytkownika, który na własne życzenie instaluje sobie wtyczkę, która wykrada mu ciasteczka. I nie jesteś w stanie realnie obronić przed tym użytkownika od strony usługi – takie rozszerzenie może równie dobrze puszczać ruch przez proxy i podrabiać fingerprint przeglądarki, aby atakujący mógł się podszyć pod danego klienta. To miałoby sens (i pewnie jest stosowane) w przypadku krytycznych usług albo bankowości, gdzie wygasanie sesji po 15 minutach jest jakoś uzasadnione, ale nie w przypadku Netflixa…

  3. Ciekawe czy właściciele strony gromadzą i wykorzystują do własnych celów przesłane ciasteczka… Jeżeli tak, to nie można powiedzieć “w dobrym celu”…

    • To zależy od szyfrowania – czy jest tylko klient-serwer, czy end-to-end. To drugie jest niestety dość rzadko stosowane.

  4. Przypominam, że już dawno do obejścia zabezpieczeń opartych o fingerprint są odpowiednie narzędzia np. https://niebezpiecznik.pl/post/modyfikacja-fingerprintu-przegladarki-jako-pomoc-we-fraudzie-finansowym/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: