Συστατικά

Μια φωτογραφία που μπορεί να κλέψει τον λογαριασμό σας στο Facebook

Εισβολή σε λογαριασμό Facebook χωρίς τον κωδικό πρόσβασης (Session Hijacking+Cookie Stealing)

Εισβολή σε λογαριασμό Facebook χωρίς τον κωδικό πρόσβασης (Session Hijacking+Cookie Stealing)
Anonim

Στη διάσκεψη για την ασφάλεια των υπολογιστών Black Hat στο Λας Βέγκας την επόμενη εβδομάδα, οι ερευνητές θα παρουσιάσουν λογισμικό που έχουν αναπτύξει και θα μπορούσαν να κλέψουν διαδικτυακά διαπιστευτήρια από χρήστες δημοφιλούς ιστοτόπου όπως το Facebook, το eBay και το Google. Η επίθεση βασίζεται σε ένα νέο είδος υβριδικού αρχείου που μοιάζει με διαφορετικά πράγματα σε διαφορετικά προγράμματα. Με την τοποθέτηση αυτών των αρχείων σε ιστότοπους που επιτρέπουν στους χρήστες να φορτώνουν τις δικές τους εικόνες, οι ερευνητές μπορούν να παρακάμψουν τα συστήματα ασφαλείας και να αναλάβουν τους λογαριασμούς των surfers που χρησιμοποιούν αυτούς τους ιστότοπους.

"Έχουμε καταφέρει να βρούμε Java applet που για όλες τις προθέσεις και τους σκοπούς είναι μια εικόνα », δήλωσε ο John Heasman, αντιπρόεδρος της έρευνας στο NGS Software.

Ονομάζουν αυτό το είδος αρχείου ένα GIFAR, μια συστολή του GIF (μορφή ανταλλαγής γραφικών) και του JAR), οι δύο τύποι αρχείων που είναι αναμεμειγμένοι. Στο Black Hat, οι ερευνητές θα δείξουν στους συμμετέχοντες πώς να δημιουργήσουν το GIFAR παραλείποντας μερικές βασικές λεπτομέρειες για να αποτρέψουν την άμεση χρήση τους σε οποιαδήποτε εκτεταμένη επίθεση.

Στον διακομιστή Web, το αρχείο μοιάζει ακριβώς με ένα αρχείο.gif, Ωστόσο, το εικονικό μηχάνημα Java του προγράμματος περιήγησης θα το ανοίξει ως αρχείο αρχείου Java και στη συνέχεια θα το εκτελέσει ως μικροεφαρμογή. Αυτό δίνει στον επιτιθέμενο την ευκαιρία να εκτελέσει κώδικα Java στον περιηγητή του θύματος. Από την πλευρά της, ο περιηγητής αντιμετωπίζει αυτό το κακόβουλο applet σαν να γράφτηκε από τους προγραμματιστές του ιστότοπου.

Εδώ είναι πώς θα λειτουργήσει μια επίθεση: Οι κακοί θα δημιουργήσουν ένα προφίλ σε μία από αυτές τις δημοφιλείς τοποθεσίες Web - για παράδειγμα το Facebook - και να ανεβάσετε το GIFAR τους ως εικόνα στην περιοχή. Τότε θα έπαιρναν το θύμα να επισκεφτεί μια κακόβουλη ιστοσελίδα, η οποία θα έλεγε στον περιηγητή του θύματος να ανοίξει το GIFAR. Σε αυτό το σημείο, η μικροεφαρμογή θα τρέξει στο πρόγραμμα περιήγησης δίνοντας στους κακούς πρόσβαση στο λογαριασμό του θύματος στο Facebook

Η επίθεση θα μπορούσε να λειτουργήσει σε οποιονδήποτε ιστότοπο που επιτρέπει στους χρήστες να φορτώνουν αρχεία, πιθανώς ακόμη και σε τοποθεσίες Web που χρησιμοποιούνται για μεταφόρτωση οι κάρτες τραπεζικών καρτών ή ακόμα και το Amazon.com, λένε

Επειδή οι GIFAR ανοίγουν από την Java, μπορούν να ανοίξουν σε πολλούς τύπους browsers.

Υπάρχει όμως ένα catch. Το θύμα θα πρέπει να συνδεθεί στον ιστότοπο που φιλοξενεί την εικόνα για να λειτουργήσει η επίθεση. "Η επίθεση θα λειτουργήσει καλύτερα όπου και αν αφήσετε τον εαυτό σας συνδεδεμένο για μεγάλες χρονικές περιόδους", δήλωσε ο Heasman.

Υπάρχουν μερικοί τρόποι με τους οποίους η επίθεση GIFAR θα μπορούσε να αποτραπεί. Οι ιστότοποι θα μπορούσαν να βελτιώσουν τα εργαλεία φιλτραρίσματος τους έτσι ώστε να εντοπίζουν τα υβριδικά αρχεία. Εναλλακτικά, η Sun θα μπορούσε να σφίξει το περιβάλλον εκτέλεσης Java για να αποτρέψει κάτι τέτοιο. Οι ερευνητές αναμένουν ότι η Sun θα καταλήξει σε μια λύση που δεν θα διαρκέσει πολύ μετά τη συζήτηση του Black Hat.

Ωστόσο, οι ερευνητές λένε ότι ενώ μια λύση Java μπορεί να απενεργοποιήσει αυτό το διάνυσμα επίθεσης, το πρόβλημα του κακόβουλου περιεχομένου που τοποθετείται στις νόμιμες εφαρμογές Web είναι πολύ ευρύτερο και πιο ακανθώδες ζήτημα. "Θα υπάρξουν άλλοι τρόποι για να γίνει αυτό με άλλες τεχνολογίες", δήλωσε ο προγραμματιστής GIFAR Nathan McFeters, ερευνητής στο Advanced Security Center της Ernst & Young.

«Μακροπρόθεσμα, οι εφαρμογές Web θα πρέπει να πάρουν τον έλεγχο το περιεχόμενο ", δήλωσε ο McFeters. "Πρόκειται για ένα πρόβλημα εφαρμογής στο διαδίκτυο. Η επίθεση της Java που χρησιμοποιούμε επί του παρόντος είναι μόνο ένα διάνυσμα."

Αυτός και οι συνάδελφοι του Black Hat παρουσιαστές έχουν δικαίωμα να μιλήσουν Το Διαδίκτυο είναι Broken. να κάνουν κάποιες θεμελιώδεις αλλαγές στο λογισμικό τους, δήλωσε ο Jeremiah Grossman, επικεφαλής της τεχνολογίας με την White Hat Security. "Δεν είναι ότι το Διαδίκτυο είναι σπασμένο", είπε. "Η ασφάλεια του προγράμματος περιήγησης είναι σπασμένη. Η ασφάλεια του προγράμματος περιήγησης είναι πραγματικά ένα οξύμωρο."

Η νέα γραμμή εργαλείων του Digg εμφανίζεται παρόμοια σε ένα χαρακτηριστικό που ξεκίνησε το StumbleUpon πέρυσι. Αντί να κατεβάσετε ένα πρόσθετο λογισμικού για το πρόγραμμα περιήγησής σας, η νέα γραμμή εργαλείων δημιουργεί ένα πλαίσιο γύρω από τη σελίδα που επισκέπτεστε. Αυτό σημαίνει ότι ενώ μπορείτε να εξετάζετε μια ιστορία στο PCWorld, στην πραγματικότητα συνεχίζετε να εργάζεστε στον τομέα του Digg. Όπως μπορείτε να δείτε από τη φωτογραφία, το πρόγραμμα περιήγησης εμφανίζει μια ιστορία στο ABC

Η νέα γραμμή εργαλείων του Digg εμφανίζεται παρόμοια σε ένα χαρακτηριστικό που ξεκίνησε το StumbleUpon πέρυσι. Αντί να κατεβάσετε ένα πρόσθετο λογισμικού για το πρόγραμμα περιήγησής σας, η νέα γραμμή εργαλείων δημιουργεί ένα πλαίσιο γύρω από τη σελίδα που επισκέπτεστε. Αυτό σημαίνει ότι ενώ μπορείτε να εξετάζετε μια ιστορία στο PCWorld, στην πραγματικότητα συνεχίζετε να εργάζεστε στον τομέα του Digg. Όπως μπορείτε να δείτε από τη φωτογραφία, το πρόγραμμα περιήγησης εμφανίζει μια ιστορία στο ABC

Ωστόσο, η γραμμή εργαλείων που βασίζεται στο Web έχει τα μειονεκτήματά της. Το παρόμοιο χαρακτηριστικό του StumbleUpon συναντήθηκε με μικτές αναθεωρήσεις και κάποια σύγχυση σχετικά με το πώς λειτούργησε το νέο εργαλείο. Η διεπαφή StumbleUpon ήταν περίπλοκη, η διαδικασία υποβολής ήταν χρονοβόρα και ήταν δύσκολο να γίνει η γραμμή εργαλείων του Web για να κάνει την έκδοση λογισμικού του StumbleUpon.

Η Google έχει μια σταθερή λαβή στη βιομηχανία ειδήσεων. Με την Google News, τον τεράστιο συνυπολογιστή ειδήσεων και με παραδείγματα όπως η πρόσφατη έκρηξη της δημοσιογραφίας των πολιτών που καλύπτει τη σύγκρουση στο Ιράν, η Google δίνει στην παραδοσιακή έντυπη δημοσιογραφία μια διαδρομή για τα χρήματά της. Τώρα ελπίζει να συνεργαστεί με μερικά μεγάλα ονόματα στις ειδήσεις για να δημιουργήσει μια κοινότητα δημοσιογράφων που ονομάζεται The Reporters 'Center του YouTube, ένα έργο που μπορεί να οδηγ

Η Google έχει μια σταθερή λαβή στη βιομηχανία ειδήσεων. Με την Google News, τον τεράστιο συνυπολογιστή ειδήσεων και με παραδείγματα όπως η πρόσφατη έκρηξη της δημοσιογραφίας των πολιτών που καλύπτει τη σύγκρουση στο Ιράν, η Google δίνει στην παραδοσιακή έντυπη δημοσιογραφία μια διαδρομή για τα χρήματά της. Τώρα ελπίζει να συνεργαστεί με μερικά μεγάλα ονόματα στις ειδήσεις για να δημιουργήσει μια κοινότητα δημοσιογράφων που ονομάζεται The Reporters 'Center του YouTube, ένα έργο που μπορεί να οδηγ

Το Κέντρο Δημοσιογράφων YouTube φιλοξενεί περιεχόμενο βίντεο που περιλαμβάνει ένα κομμάτι για το πώς να πάρει συνέντευξη από την Katie Couric της CBS. ένα κομμάτι σχετικά με τον τρόπο τεκμηρίωσης μιας παγκόσμιας ανθρωπιστικής κρίσης από τον Νικ Κρίστοφ

Οι εφαρμογές που χρησιμοποιούμε ως χρήστες υπολογιστών ή κινητών τηλεφώνων αφορούν στην πραγματοποίηση εργασιών - κράτηση ταξιδιού, έλεγχος καιρού, εργασία, επεξεργασία φωτογραφιών, έλεγχος τις παραμέτρους υγείας κλπ. Μας αρέσει να λαμβάνουμε όλες αυτές τις υπηρεσίες δωρεάν, αλλά μερικές φορές παίρνετε αυτό που πληρώνετε. Η έξοδος από λίγα δολάρια μπορεί να σας φέρει μια πολύ καλύτερη εφαρμογή που μπορεί να σας διευκολύνει. Αυτές οι εφαρμογές στο

Οι εφαρμογές που χρησιμοποιούμε ως χρήστες υπολογιστών ή κινητών τηλεφώνων αφορούν στην πραγματοποίηση εργασιών - κράτηση ταξιδιού, έλεγχος καιρού, εργασία, επεξεργασία φωτογραφιών, έλεγχος τις παραμέτρους υγείας κλπ. Μας αρέσει να λαμβάνουμε όλες αυτές τις υπηρεσίες δωρεάν, αλλά μερικές φορές παίρνετε αυτό που πληρώνετε. Η έξοδος από λίγα δολάρια μπορεί να σας φέρει μια πολύ καλύτερη εφαρμογή που μπορεί να σας διευκολύνει. Αυτές οι εφαρμογές στο

Windows Store