Błędy projektowe w serwisie poczta.wp.pl pozwalają intruzowi na przechwycenie danych logowania
- Dodano: 23 February 2010
- Wprowadził: hcsl.pl
- Komentarze: 26
Błąd projektowy obecny w serwisie poczta.wp.pl pozwala potencjalnemu intruzowi na przechwycenie danych logowania (nazwy użytkownika oraz hasła) należących do użytkowników tej popularnej usługi pocztowej. Problem ten wynika z nieodpowiedniego zabezpieczenia procesu zmiany hasła.
Proces uwierzytelniania użytkowników korzystających z serwisu poczta.wp.pl został domyślnie zabezpieczony za pomocą transmisji szyfrowanej SSL:
Dalsza praca odbywa się już jednak za pośrednictwem połączenia nieszyfrowanego. Okazuje się jednak, że nieszyfrowany jest również proces zmiany hasła za pomocą przeznaczonego do tego celu formularza! Oznacza to, że intruz będący w tej samej sieci lokalnej co użytkownik usługi, może w bardzo prosty sposób podsłuchać hasła (stare, jak i nowe) użytkownika przekazywane w trakcie procesu zmiany danych dostępowych!
Wykonanie skutecznego ataku wymaga więc wyłącznie prostego podsłuchania (za pomocą sniffera, np. Wireshark) ruchu sieciowego potencjalnej ofiary, co w wielu przypadkach jest dość proste. W celu przekonania się o faktycznej możliwości wykonania ataku założyłem konto pocztowe jan.supertajny@wp.pl zabezpieczone hasłem jan.super1. Następnie podsłuchiwałem za pomocą sniffera Wireshark komunikację sieciową towarzyszącą procesowi zmiany hasła użytkownika. Zgodnie z podejrzeniami, taka prosta czynność pozwoliła na przechwycenie zarówno starego (jan.super1), jak i nowego (jan.super2) hasła do usługi:
Zagrożenie może zostać w stosunkowo prosty sposób zażegnane, poprzez dodanie szyfrowania procesu zmiany hasła. Do czasu rozwiązania powyższego problemu przez administrację serwisu, należy jednak zachować szczególną ostrożność (zwłaszcza podczas korzystania z publicznych, nieznanych nam sieci komputerowych) w trakcie korzystania z serwisu poczta.wp.pl.
Materiał pochodzi z serwisu HARD CORE SECURITY LAB.
Więcej informacji: http://www.hcsl.pl/2010/02/bedy-projekto...awppl.html
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
26 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
W sumie nie wiem skąd się wzięła popularność tego serwisu pocztowego, odkąd pamiętam nie mieli dobrej darmowej oferty.
A którą darmową pocztę polecasz? Tylko nie mów mi o gmailu, bo nie chcę być podsłuchiwany przez Wielkiego Brata. Być może na wp.pl też podsłuchują, ale to przynajmniej Polacy z Gdańska, a nie jakaś amerykańska korporacja z planami podboju całego świata.
o2.pl ma masę reklam w skrzynce, ale jeśli korzystasz z programu pocztowego to chyba można ich ofertę polecić (10GB pojemności i 100MB pojedyncza wiadomość)
Pomyliłeś Google z microsoftem.
I polecam właśnie gmaila. Świetna poczta.
Zastanawiająca krótkowzroczność. A może po prostu fanboj.
"Pomyliłeś Google z microsoftem." – oj nie. Obie te firmy są POTĘŻNYMI korporacjami dążącymi do umocnienia swej pozycji (najlepiej w postaci świata jako swojego podwórka).
Przypominam, że w latach 90-tych to Microsoft cieszył się taką estymą jak dzisiaj Google. Że jest innowacyjny, potężny i tak dalej. Były oczywiście głosy na nie, ale wtedy to były czasy kiedy tylko DOS i Windows się liczyły z punktu widzenia polskiego power usera.
Otwórz więc panie marcinsud googlowe klapki na oczach. Chyba że zamierzasz pracować kiedyś dla Google, to wtedy oczywiście musisz rozsiewać dobre informacje o sobie wszędzie, najlepiej właśnie w gmailu. Jeśli nie zamierzasz tam pracować, to rozważ starannie zasadność podawania swoich emailów tej firmie choćby po to, abyś nie miał później kłopotów (szczególnie zawodowych).
PS.
Jak to jest, że jak o firmie wiadomo, że zbiera dane o użytkowniku i nawet za pomocą przestępstw dąży do dominacji na rynku (np. taki microsoft) to wszyscy klapki na oczy, knebel w usta i milczą na ten temat – a kto go porusza jest fanatykiem.
A jak Google nigdy na niczym nie wpadł, puki co jest czysty jak łza i przestrzega swojego hasła "don't be evil", to ci sami "antyfanatycy" wymyślają teorie spiskowe i próbują wcisnąć wszystkim kłamstwa i oczerniać sprawnie i legalnie działające firmy.
Przecież to pachnie chorobą psychiczną…
http://www.sjp.pl/co/p%F3ki
Zasada domniemania niewinności obowiązuje dalej…
@kwahoo
Jak widać nie w przypadku google…
@oO – Google na niczym nie wpadł? A sprawa współpracy z władzami chińskimi wtedy, kiedy to było przed atakiem chińskich hakerów na Google, to co to było? A przecież ta współpraca polegała na ujawnianiu tożsamości chińskich dysydentów (i być może jeszcze zawartości ich skrzynek pocztowych – nie wiem tego, bo takie szczegóły współpracy są tajne). W Chinach takie ujawnianie to wyrok śmierci. Czyli Google ma krew na rękach razem z tym swoim "don't be evil".
Możesz podać jakieś dokładniejsze informacje?
Z tego co wiem tożsamość właścicieli skrzynek ujawniały Yahoo i Microsoft (bez oczekiwania na wyrok sądowy).
Co ja proponuję? Założyć sobie pocztę na własnym hostingu. Nawet darmowe hostingi to oferują.
Podobne błędy projektowe ma samba i linux, no i niestety IE, choć ostatnio bardzo wiele się poprawiło.
Samba ma być kompatybilna z Windows. Windowsy jakoś negocjują takie rzeczy? Jeżeli chcemy zmienić nazwę swojego użytkownika w domenie Windows(a na serwerze jest Windows), to chyba do niczego złego nie powinno dojść.
w którym miejscu podobne? Jeśli chodzi tylko o słowo 'projektowe' to ja mogę napisać, że opel astra II ma podobne błędy projektowe co poczta na wp.
Samba faktycznie ma błędy projektowe w samym protokole. Pewnie dlatego jest taka popularna w microsofcie.
IE to jeden wielki błąd. A zmiany kosmetyczne niczego nie poprawiły. Patrząc na ostatnie wydania popularnych przeglądarek FF, Opera, Safari i inne webkitowe przeglądarki mają porównywalną prędkość, a IE jest od nich 2 razy wolniejszy. Chyba czas mu umierać…
Dodam jeszcze bezsensownie zaprojektowany windows z pogardą dla warstwowości i rażącymi błędami bezpieczeństwa, np. UAC w windows 7, którego microsoft oficjalnie nie zamierza poprawiać, bo… vista miała ten sam błąd projektowy w UAC. Świetne wytłumaczenie, poza tym tą wypowiedzią sami przyznali się do błędu projektowego w systemie uwierzytelniania.
Ale jakie błędy projektowe są w Linuksie? Mógłbyś rozwinąć temat?
@oO: Wiesz, sorry ze sie czepiam, ale uparcie rozsiewasz FUD na temat protokolu SMB. Nie, SMB nie ma bledow projektowych wiekszych niz na przyklad NFSv3. Nie sadze, zebys przyjal to do wiadomosci, ale ktos kto czyta twoje komentarze moze nie zdawac sobie sprawy, ze ma do czynienia z notorycznym klamca.
A co do bledow projektowych w Linuksie – znaczy, chodzi ci o bledy projektowe odziedziczone po Uniksie (na przyklad mozliwosc uzywania znakow niedrukowalnych w nazwach plikow czy ogolny design sys5 ipc), czy o "autorskie" bledy Linuksa, w rodzaju VFS-a postawionego do gory nogami, przez co rzeczy w rodzaju serwera NFS albo nietypowego modelu uprawnien wymagaja uzycia dziwacznych hackow?
Dosyć niebezpieczne, zaważywszy, iż wiele osób korzysta z tych samych haseł. Jest tylko jedno ale: zakładanie, że dostaniemy się do tej samej sieci, dosyć niezabezpieczonej, jest dosyć huraoptymistyczne. Problem ten jednak trzeba zażegnać.
Jeśli wybierzesz konkretny cel ataku, to faktycznie. Ale co przeszkadza zbierać dane losowych osób z niezabezpieczonych sieci wifi?
Nie użytkownik, tylko ktoś kto zarządza ruterem, a to spora różnica.
patrz: niezabezpieczone hotspoty
Popularność WP wynika z tego, że jako pierwsza dawała darmowe w miarę przyzwoite konta pocztowe (wcześniej był chyba polbox)
Osobiście mam 1 konto na WP, ale prawie tam nie zaglądam.
A tak ogólnie – admin fail
Onet dawał znacznie lepsze i nie wiem czy nie wcześniej od wp.
Między polboxem a wp był jeszcze kkk.net.pl
Podobna "dziura" występuje w przypadku zmiany hasła do konta allegro. Przy wpisywaniu hasła, poprzez xhr wysyłane jest hasło plain textem w dodatku po protokole http.
Wygląda na to, że już to poprawili. Zmiana hasła i danych jest po SSL.