22 marca 2010

Tak robią to komputerowi przestępcy III (przejęcie konta poczty e-mail)

poniedziałek, marca 22, 2010 | Autor: \m/ojtek
Być może czasem zastanawiacie się... jak do licha robią to komputerowi przestępcy? Jak to możliwe, że udaje im się przejmować kontrolę nad tysiącami komputerów należących do nic nie podejrzewających internautów, a następnie śledzić ich każdy ruch, wykradać hasła oraz opróżniać konta bankowe. Jak ogromną wiedzę oraz jak błyskotliwą inteligencję muszą posiadać tego typu crackerzy (tych złych nazywamy crackerami, tych dobrych hakerami - przyp. red.)? Okazuje się jednak, że przeprowadzenie typowych ataków internetowych wcale nie wymaga niezwykłych umiejętności. Na dowód tej tezy, w kilku krokach przedstawiam poniżej (ku przestrodze, a nie na zachętę!) przykładowy atak pozwalający na przejęcie konta poczty e-mail w bardzo popularnym polskim serwisie Poczta.onet.pl.

Załóżmy, że intruz chce uzyskać dostęp do konta poczty e-mail naszej fikcyjnej bohaterki, pani Anny Nieroztropnej. Nasz włamywacz wie jedynie, że konto pani Ani to anna.nieroztropna@onet.pl. W jaki sposób, dysponując jedynie adresem poczty e-mail, nie mając dostępu do komputera ofiary ani żadnych innych informacji na jej temat, intruz może uzyskać dostęp do jej poczty? Okazuje się, że jest to bardzo proste.

Zazwyczaj wydaje się nam, że w takiej sytuacji intruz będzie próbował złamać hasło Ani lub wykorzystać jakąś lukę w serwisie Poczta.onet.pl. Wykonanie tego typu ataków nie jest jednak proste, a wręcz może być niemożliwe. Nie mamy jakichkolwiek informacji o haśle broniącym dostępu do konta, wobec czego przeprowadzanie ataku typu brute force (sprawdzania po kolei wszystkich możliwości) nie ma sensu. Jako, że intruz próbuje uzyskać dostęp do zdalnego serwera, ilość haseł, jakie mógłby sprawdzić w rozsądnym czasie jest bardzo niewielka. Poza tym, serwis Poczta.onet.pl z pewnością został wyposażony w jakieś mechanizmy wykrywania oraz ochrony przed tego typu zautomatyzowanymi próbami logowania. Doświadczony cracker spróbuje jednak z pewnością znacznie prostszego sposobu na uzyskanie dostępu do konta...

Spójrzmy na domyślny mechanizm pozwalający na dostęp do poczty Onetu w przypadku zapomnienia hasła:
Okazuje się, że Anna ustawiła własne pytanie pomocnicze (Imię mojego tygryska?), pozwalające w sytuacji awaryjnej na zmianę jej hasła dostępowego:
Cracker chcący przejąć jej konto mailowe musi więc tylko ustalić imię rzeczonego tygryska. Ponieważ tego typu awaryjne procedury bazują na prywatnej wiedzy użytkownika, wydaje się, że stanowią dość dobre zabezpieczenia przed atakiem ze strony innych osób. Nic jednak bardziej mylnego. Okazuje się, że bardzo często odpowiedź na pytanie pomocnicze może zostać odgadnięta nawet przez osoby nie znające w ogóle właściciela konta! Dzieje się tak, ponieważ statystyczny internauta udostępnia na swój temat coraz więcej informacji ze swego życia prywatnego.

Spróbujmy więc odnaleźć tygryska w... popularnych serwisach społecznościowych. Możemy podejrzewać, że tygryskiem Ani może być jakiś pan, ale może to być również jakieś zwierzątko, np. kotek. Poszukiwania zaczniemy oczywiście od serwisu Nasza-klasa.pl.

Bez problemu odnajdujemy profil Ani w serwisie Nasza Klasa:
W poszukiwaniu ewentualnych Tygrysków udajemy się do galerii zdjęć. Okazuje się, że zdjęcia dostępne są wyłącznie dla znajomych. Nie poddajemy się jednak, ponieważ i na to znajdzie się jakiś sposób. Próbujemy najpierw utworzyć profil Seksowne brunetki i następnie zaprosić do znajomych Anię. Niestety zaproszenie zostaje odrzucone. W takim przypadku bardzo skuteczne może się okazać poznanie grupy znajomych Ani w jakimkolwiek innym serwisie społecznościowym i wybór jednej osoby, która jednocześnie nie znajduje się wśród znajomych Ani na Naszej Klasie. Teraz wystarczy już tylko utworzyć na Naszej Klasie fałszywy profil prawdziwego znajomego Ani i za jego pośrednictwem wysłać zaproszenie. Taka metoda jest bardzo skuteczna. Wreszcie udało się więc uzyskać dostęp do galerii Ani. Spójrzmy:

Chyba znaleźliśmy tygryska Ani:
Ania ma więc kotka Klakiera. Sprawdźmy, czy o niego chodziło w pytaniu pomocniczym. Bingo. Klakier pozwala intruzowi na zmianę hasła dostępowego do konta anna.nieroztropna@onet.pl:
Oczywiście Ania zorientuje się w końcu, że nie może się zalogować do swojego konta, co nie zmienia jednak faktu, że od teraz to intruz ma nad nim pełną kontrolę...

Ataki poprzez pytania pomocnicze są najczęstszym sposobem na przejmowanie kont w usługach online obok ataków phishingowych, bardzo rzadko jednak mówi się na ich temat. Warto więc pamiętać, by odpowiedź na nasze pytanie pomocnicze nie była banalna oraz by potencjalny intruz nie mógł jej odnaleźć w prosty sposób. Warto również zauważyć, że nowocześniejszy oraz bardziej bezpieczny sposób na umożliwienie awaryjnego dostępu do konta użytkownika stanowią metody oparte o wiadomość SMS przesyłaną na zdefiniowany uprzednio przez użytkownika numer telefonu komórkowego. W serwisie Poczta.onet.pl opcjonalnie można tego typu usługę aktywować.

Myli się ten, kto uważa, że tego typu ataki nie są popularne. Wręcz przeciwnie. Przykładowo dokładnie taki sposób ataku został przez crackerów wykorzystane w słynnej sprawie włamania do konta poczty e-mail byłej gubernator stanu Alaska, pani Sary Palin.

Sprawą tego typu ataków zajęli się również naukowcy z Uniwersytetu Cambridge. Z pracy zatytułowanej What's in a Name? Evaluating Statistical Attacks on Personal Knowledge Questions dowiadujemy się, że pytania pozwalające na zmianę hasła dostępowego są rzeczywiście niezwykle podatne na ataki. Przykładowo okazało się, że intruz nie dysponując jakąkolwiek wiedza na temat potencjalnej ofiary, jest w stanie odgadnąć prawidłową odpowiedź na typowe pytanie pomocnicze w ramach zaledwie trzech prób z prawdopodobieństwem równym 1 do 80!

Artykuł autorski HCSL - Wojciech Smol
Etykiety: , , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.