Luka na Nasza-Klasa.pl - są powody do obaw?

Do redakcji Dziennika Internautów trafiło zgłoszenie dotyczące eksperymentu, który umożliwił manipulowanie kontami użytkowników zarejestrowanych w serwisie społecznościowym Nasza-klasa.pl.

Czytelnik podpisujący się jako Silent Traveller 007 przedstawił nam szczegółowy opis ataku z użyciem ciasteczek (ang. cookies). Zwróciliśmy się do kilku ekspertów od bezpieczeństwa z prośbą o komentarz.

Reklama

Do eksperymentu użyto kilku komputerów wyposażonych w Windows XP, Windows Vistę, Ubuntu 7.04, Ubuntu 8.04 oraz środowisko wirtualne VirtualBox. Ze względu na uproszczoną procedurę obsługi ciasteczek czytelnik posłużył się przeglądarką internetową Opera. Pomocny okazał się też analizator sieciowy Wireshark (nie jest niezbędny do przeprowadzenia ataku).

Po konsultacji z firmą G DATA, producentem oprogramowania zabezpieczającego, zdecydowaliśmy się nie podawać zbyt wielu technicznych szczegółów wykorzystania luki. Zanim wysłaliśmy zapytanie do ekspertów, przeprowadziliśmy w redakcji kilka testów, które potwierdziły podatność strony na opisywany błąd.

"Mam ciacho i nie zawaham się go użyć"

Silent Traveller 007 tłumaczy: Jak wchodzisz na Nasza-klasa.pl to tworzone jest ciasteczko sesji. Wciśnięcie opcji SSL jedynie przełącza na bezpieczną funkcję logowania, jednakże autoryzacja dotyczy pierwotnego ciasteczka uzyskanego bez szyfrowania (uwierzytelnione zostanie ciasteczko z sesji początkowej!). Testy przeprowadzane były z użyciem bezpośredniego połączenia https://ssl.nasza-klasa.pl/login

Co można zrobić po przejęciu cudzego ciasteczka? W pliku, który otrzymaliśmy od naszego informatora, czytamy: Ciasteczko kopiujemy do drugiego komputera (technika dowolna), czasem trzeba użyć "pośredniej" aplikacji - jak edit czy notepad. (...) podmieniamy ciasteczko dla Nasza-klasa.pl i reload ;) - jak nie spartolisz, to masz dostęp. TADA... i teraz możesz: poczytać pocztę, zmieniać opisy, kopiować zdjęcia, pisać na forach. Nie możesz usunąć konta, bo trzeba znać hasło!

Zapytaliśmy czytelnika, czy poinformował o swoim odkryciu twórców serwisu Nasza-klasa.pl. Silent Traveller 007 odpisał: "Tak. Informacja oficjalnie przekazana została na początku sierpnia 2008 z wykorzystaniem formularza kontaktowego - Pomysły, Sugestie i Uwagi - bez żadnego odzewu :( Niejednokrotnie informacja na temat ciasteczek i SSL pojawiała się na Forum. Niestety bez reakcji portalu".

Administracja portalu wie o luce, ale...

Dziennik Internautów zwrócił się do Naszej-klasy.pl z prośbą o skomentowanie zaistniałej sytuacji. Dostaliśmy potwierdzenie, że opisywany wyżej błąd jest znany administracji serwisu.

Nasi programiści pracują nad załataniem tej luki. Nie jest to jednak krytyczny błąd systemu - odpowiedział Bartek Szambelan, Dyrektor Działu PR. Proszę pamiętać, że jesteśmy obecnie jedynym serwisem społecznościowym, w którym logowanie może odbywać się za pośrednictwem szyfrowanego połączenia SSL".

W dalszej części listu czytamy:

Aby przejąć sesję użytkownika, musi wystąpić kilka niezależnych od siebie okoliczności. Przede wszystkim "podsłuchać" naszą sesję może osoba będąca między naszym komputerem a NK, czyli administrator naszej sieci bądź dostawca internetowy. Oprócz tego przejęcie sesji opisanym sposobem jest możliwe tylko i wyłącznie w czasie rzeczywistym (użytkownik zalogowany do NK), po wylogowaniu użytkownika nawet przejęta sesja traci swoją ważność.

Dowiedz się więcej na temat: błąd | hasło | dostęp | przejęcie | luka | powody

Reklama

Najlepsze tematy

Reklama

Strona główna INTERIA.PL

Polecamy

Rekomendacje