Archiv pro Leden 2011
Virtuální identitu vám dnes ukradne i dítě
Není to tak dlouho co se objevil doplněk pro Firefox který umožňoval odchytávat na nezabezpečených Wi-Fi sítích tzv. cookies, postupem času na něj navázali programy které dokážou podobnou funkci přidat do jakéhokoli prohlížeče (asi všichni chápou proč sem nedám názvy těch programů).
A jak to vlastně funguje:
Vlastně velice jednoduše, daný program na nezabezpečené síti odchytává komunikaci počítače a routeru a archivuje tzv. cookies, které potom vkládá do vašeho prohlížeče. Na požádání vám potom vypíše seznam stránek ke kterým získal přístup a od koho (nickname není šifrován), vy už si potom jen vyberete síť a uživatele a prostým dvouklikem se přihlásíte.
-Pokud se někdo ne stejné Wi-Fi přihlásí třeba na Facebook, vy odchytnete jeho cookies a získáte tím vlastně plný přístup do služby. Jasně, neznáte sice heslo, ale pokud se budete pravidelně přihlašovat máte vlastně zajištěn doživotní přístup do cizího účtu.
-Prohlížeče používají tzv. cookies pro identifikaci toho jestli jste už byli k dané službě přihlášeni a případně k tomu aby jste při návratu byli přihlášeni automaticky znova. Při odhlášení od dané služby sice prohlížeč daný “koláček” vymaže, ale to útočníka již nemusí zajímat, váš přihlašovací “koláček” už přece má.
Když je to tak jednoduché, funguje to vůbec:
-Musím konstatovat, ano funguje. Doma na svém routeru jsem tedy vypnul šifrování abych vytvořil veřejnou Wi-Fi síť a šel to zkusit.
Testoval jsem na těchto službách:
-Seznam mail, Volný mail, Hotmail, Google účet, Facebook, Twitter, Centrum mail (kvůli neustálému odpojování a tvrzení, že jsem již přihlášen jsem ho nakonec vyřadil), přihlášení na Živě.cz a nakonec přihlášení k poradně Ubuntu
Jak to dopadlo:
Bídně, odolal pouze Google účet, mail na Volném a poradna Ubuntu kam se sice přihlásíte, ale během chvilky jste odhlášeni. Do všech zbývajících služeb se přihlásíte úplně v pohodě a máte plný přístup, pořád sice nemáte heslo, takže nemůžete majitele účtu odříznout (i když při stavu jaká hesla lidé používají se nebojím prohlásit, že uhádnutí hesla nebo dokonce jeho nalezení někde uvnitř účtu není zas až tak nereálné).
Co totálně propadlo:
Když už jsem byl uvnitř (některé účty jsem si vypůjčil od známých) rozhodl jsem se tedy zkusit přebrat kontrolu úplnou, tedy změnit heslo a odříznout majitele. V tomto ohledu totálně propadl Facebook, Hotmail a Živě. Stačí si na stránce se změnou hesla vytvořit v prohlížeči meta-soubor a kolonka s dotazem na staré heslo se vám automaticky vyplní, staré heslo tedy nemusíte vůbec znát, prohlížeč ho doplní za vás a pak už si jen dopíšete heslo nové a hotovo, účet je váš.
Jak moc je to nebezpečné:
Potencionální nebezpečnost vidím hlavně v tom, že kdekoli na veřejné Wi-Fi vás může kdykoli odposlechnout pokud se přihlásíte (třeba do mailu) a získat tak celkem snadno a jednoduše přístup k vašemu účtu (troufám si říct, že tohle zvládne i desetileté dítě). U některých služeb pak lze změnit i hesla a získat tak plnou kontrolu nad účtem s odříznutím přístupu majiteli, ale to už je věc která vyžaduje určitou znalost nebo alespoň hrubou představu jak na to.
Co nebylo v plánu:
U jednoho programu jsem narazil na zajímavou schopnost odposlouchávat i přihlašovací údaje pro IM komunikátory, jak jsem později zkusil, ukázalo se, že to nefunguje, tedy kromě ICQ to nefungovalo. ICQ má server na který se nyní posílají přihlašovací údaje nezabezpečený a lze tak poměrně snadno získat i heslo k účtu. Když bylo ICQ ještě v rukou AOL byla použita autorizace k serveru přes HTTPS, od posledních změň tomu ale jak se zdá tak není a tak mají potencionální útočníci mnohem snazší práci.
Asi všichni chápou, že dát sem jména použitých programů nebo dokonce postup jak změnit heslo třeba u Facebooku (pokud už máte přístup) by bylo krajně nezodpovědné, ale stačí trochu hledat a návodů najdete docela dost. IPv4 sice došly a konec světa se nekoná (zatím), ale opravdu si můžeme být jisti, že náš virtuální život bude zítra pořád ještě náš
23. 1. 2011 | rover623 | 23
Máte krabicová Windows, jste pitomci
Tak přesně takhle jsem se cítil poté co jsem kamarádovi sháněl nový počítač. On má nedávno zakoupenou krabici s Windows 7 a tak byla pozice jasně daná, počítač musí být bez systému, s Linuxem nebo s předinstalovaným Windows, ale pouze v případě, že bude jasné, že cena stejného stroje s OEM verzí Windows je opravdu nižší.
O tom, že vrátit OEM verzi Windows je hra pro toho kdo má čas a dost nervů se tu raději nebudu zmiňovat, ale k věci, kde vzít počítač když Windows už mám a je celkem logické, že se mi nechce vydávat dalších 1500,- až 2500,- za něco co jsem si nedávno za nemalé peníze koupil. Ale co s tím, když zadáte své požadavky a jako omezení dáte, že stroj musí být bez OS, moc modelů na výběr vám nezbyde. Když už se vám povede sehnat počítač, který vypadá, že by byl s OEM Windows levnější, velmi brzo zjistíte, že oproti verzi kterou výrobce dodává bez OS je ten s Windows na něčem ošizený.
A co takhle krabici s Windows vrátit když už si ten systém musím stejně koupit s novým počítačem, jenže ono to jaksi nejde, krabici s Windows vám jen tak nevezmou zpátky s tím, že už ten systém nepotřebujete, protože vás vlastně stejná společnost nutí si ten systém koupit znova, Microsoft se v tomto případě velmi šalamounsky odvolává na výrobce počítače a tak on vlastně za nic nemůže a ještě se bude tvářit, že on je ten koho nakonec okrádají. Člověk který si za celkem nemalé peníze koupil krabici s Windows si potom připadá jako naprostý pitomec, kdy se mu celý Microsoft směje do obličeje a říká “Koupil jste si retail Windows. Děkujeme a teď nám zaplaťte znovu za to samé co už máte.”
Trochu mi to připomíná stav, kdy si do auta za příplatek koupím lepší klimatizaci, ale výrobce mi naúčtuje i tu starou s tím, že pokud budu chtít, tak mi ji po demontáži dají abych si ji mohl doma vystavit (asi). Microsoftu se povedlo něco co se ještě nikdy nikomu nepovedlo, prodávat lidem věci které už mají doma v horší kvalitě znovu. Takže všichni co dnes máme doma zálohu OEM Windows a koukáme jak se nám na ni práší, můžeme jen doufat, že si za peníze o které jsme byli okradeni koupí Steve Ballmer konečně paruku a nebo se utěšovat pocitem, že jsme někomu z akcionářů MS koupili nové Ferrari.
Poznámka pod čarou:
-Pro všechny co se již chystají psát do diskuze něco o tom, že když to nechci tak to nemám kupovat nebo že výrobci prodávají jen to co uživatelé chtějí, zkuste nějakému BFU říct, že ten Windows co si kupuje na tom novém notebooku stojí 2000,- a že pokud chce může ho vrátit a dostat necelé 2000,- nazpátek, ale předtím než to zkusí mu raději detailně popište co ho čeká
20. 1. 2011 | rover623 | 36