mac os x windows linux

Nowe formy ataku na Mac, Windows, Linuks

Nowa forma ataku, która omija zabezpieczenia https na Mac’ach, Windowsie oraz Linuksie może być wykorzystana przez operatorów hotspotów WiFi.
Kluczową formą gwarancji jest to, że szyfrowanie https sprawia, że adresy odwiedzanych stron internetowych są niewidoczne dla potencjalnych hakerów, którzy monitorują ruch w sieci użytkownika. Niestety, już udało się opracować formę ataku, która tę ochronę łamie.

Atak można przeprowadzić przez operatorów praktycznie wszystkich sieci, łącznie z publicznymi sieciami WiFi (w tych miejscach internauci muszą być dużo bardziej uważni). Chodzi dokładnie o nadużywanie funkcji WPAD – skrót kodu Web Proxy Autodisovery w sposób, który naraża przesyłanie żądania. Atakujący jest w stanie zobaczyć cały adres URL odwiedzanych witryn.
Exploit działa przeciwko praktycznie wszystkim przeglądarkom oraz systemom operacyjnym. Ludzie polegają na https jako zabezpieczeniu komunikacji nawet wtedy, kiedy WiFi czy LAN nie są zaufane (mowa tutaj o publicznych sieciach WiFi znajdujących się w hotelach, kawiarniach, na lotniskach czy w restauracjach). Poza adresem URL pozostały ruch https nie jest podatny na atak. Mimo to w niektórych przypadkach ujawnienie zawartości może okazać się bardzo niebezpieczne. Standardowe OpenID używa adresów URL do uwierzytelniania użytkowników witryn oraz usług. Innym przykładem są usługi udostępniania dokumentów, takie jak te oferowane przez Google oraz Dropbox, które działają przez wysłanie użytkownikowi tokena bezpieczeństwa, który zawarty jest w adresie URL. Wiele mechanizmów resetowania hasła może być opartych na tokenach URL. Hakerzy którzy uzyskali takie adresy URL są w stanie uzyskać pełny dostęp do konta docelowego bądź danych. Najbardziej możliwym sposobem przeprowadzenia ataku jest wysłanie przez sieć złośliwej wiadomości podczas, gdy komputer używa protokołu dynamicznej konfiguracji hosta aby połączyć się z siecią. Oprócz wydawania adresów DHCP może służyć do konfiguracji serwera proxy przeglądarki.
Ta technika ataku zmusza przeglądarkę, aby uzyskała plik autoconfig proxy (PAC), który określa typy adresów URL. Ponieważ złośliwy kod PC odbiera żądanie zanim ustali się połączenie https, atakujący jest w stanie uzyskać cały adres URL w postaci zwykłego tekstu. Jest też drugi sposób – aby dokonać włamania można wykorzystać złośliwe oprogramowanie, które modyfikuje docelowe ustawienia sieciowe urządzenia, aby korzystać z serwera proxy. W obu przypadkach, osoby, na które targetowany jest atak, zobaczą w adresie przeglądarki, że nawiązane połączenie https będzie wyglądało na prawidłowe.
W ramach pierwszego scenariusza opcje sieciowe komputera pokażą, że proxy używa opcji automatycznego wykrywania. W przypadku ataku przeprowadzonego przy pomocy złośliwego oprogramowania będzie wyświetlany adres URL atakującego. W kwietniu Trojan bankowy, znany jako Blackmoon zainstalował plik PAC na zainfekowanych komputerach, które przekierowuje przeglądarkę do stron phishingowych. Plik zawiera także funkcję JavaScript, która używa Blackmoon w celu przechwycenia użytkownika i przekierowania witryn bankowych.

źródło: http://arstechnica.com/

Od ponad 12 lat zajmuje się profesjonalnie zagadnieniami sieciowymi, hostingiem i bezpieczeństwem teleinformatycznym. Z Linuksem znam się od kernela 2.4.7. Mam brodę i koszulę w czerwoną kratę, w której nie chodzę.

  • bordeux

    No nie. Token Google jest przypisywany do aplikacji. Aplikacja na serwerze posiada klucz prywatny, który dopiero po połączeniu z tokenem, jest do czegoś przydatny. Sam token prawie nic nie znaczy.