Błędy projektowe w serwisie poczta.wp.pl pozwalają intruzowi na przechwycenie danych logowania

Błąd projektowy obecny w serwisie poczta.wp.pl pozwala potencjalnemu intruzowi na przechwycenie danych logowania (nazwy użytkownika oraz hasła) należących do użytkowników tej popularnej usługi pocztowej. Problem ten wynika z nieodpowiedniego zabezpieczenia procesu zmiany hasła.

Proces uwierzytelniania użytkowników korzystających z serwisu poczta.wp.pl został domyślnie zabezpieczony za pomocą transmisji szyfrowanej SSL:

Dalsza praca odbywa się już jednak za pośrednictwem połączenia nieszyfrowanego. Okazuje się jednak, że nieszyfrowany jest również proces zmiany hasła za pomocą przeznaczonego do tego celu formularza! Oznacza to, że intruz będący w tej samej sieci lokalnej co użytkownik usługi, może w bardzo prosty sposób podsłuchać hasła (stare, jak i nowe) użytkownika przekazywane w trakcie procesu zmiany danych dostępowych!

Wykonanie skutecznego ataku wymaga więc wyłącznie prostego podsłuchania (za pomocą sniffera, np. Wireshark) ruchu sieciowego potencjalnej ofiary, co w wielu przypadkach jest dość proste. W celu przekonania się o faktycznej możliwości wykonania ataku założyłem konto pocztowe jan.supertajny@wp.pl zabezpieczone hasłem jan.super1. Następnie podsłuchiwałem za pomocą sniffera Wireshark komunikację sieciową towarzyszącą procesowi zmiany hasła użytkownika. Zgodnie z podejrzeniami, taka prosta czynność pozwoliła na przechwycenie zarówno starego (jan.super1), jak i nowego (jan.super2) hasła do usługi:

Zagrożenie może zostać w stosunkowo prosty sposób zażegnane, poprzez dodanie szyfrowania procesu zmiany hasła. Do czasu rozwiązania powyższego problemu przez administrację serwisu, należy jednak zachować szczególną ostrożność (zwłaszcza podczas korzystania z publicznych, nieznanych nam sieci komputerowych) w trakcie korzystania z serwisu poczta.wp.pl.

Materiał pochodzi z serwisu HARD CORE SECURITY LAB.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar marcinsud
    marcinsud

    W sumie nie wiem skąd się wzięła popularność tego serwisu pocztowego, odkąd pamiętam nie mieli dobrej darmowej oferty.

    1. Awatar abcman
      abcman

      A którą darmową pocztę polecasz? Tylko nie mów mi o gmailu, bo nie chcę być podsłuchiwany przez Wielkiego Brata. Być może na wp.pl też podsłuchują, ale to przynajmniej Polacy z Gdańska, a nie jakaś amerykańska korporacja z planami podboju całego świata.

      1. Awatar abcd
        abcd

        o2.pl ma masę reklam w skrzynce, ale jeśli korzystasz z programu pocztowego to chyba można ich ofertę polecić (10GB pojemności i 100MB pojedyncza wiadomość)

      2. Awatar oO
        oO

        Pomyliłeś Google z microsoftem.

        I polecam właśnie gmaila. Świetna poczta.

        1. Awatar slou
          slou

          Zastanawiająca krótkowzroczność. A może po prostu fanboj.

        2. Awatar abcman
          abcman

          "Pomyliłeś Google z microsoftem." – oj nie. Obie te firmy są POTĘŻNYMI korporacjami dążącymi do umocnienia swej pozycji (najlepiej w postaci świata jako swojego podwórka).
          Przypominam, że w latach 90-tych to Microsoft cieszył się taką estymą jak dzisiaj Google. Że jest innowacyjny, potężny i tak dalej. Były oczywiście głosy na nie, ale wtedy to były czasy kiedy tylko DOS i Windows się liczyły z punktu widzenia polskiego power usera.
          Otwórz więc panie marcinsud googlowe klapki na oczach. Chyba że zamierzasz pracować kiedyś dla Google, to wtedy oczywiście musisz rozsiewać dobre informacje o sobie wszędzie, najlepiej właśnie w gmailu. Jeśli nie zamierzasz tam pracować, to rozważ starannie zasadność podawania swoich emailów tej firmie choćby po to, abyś nie miał później kłopotów (szczególnie zawodowych).

      3. Awatar oO
        oO

        PS.
        Jak to jest, że jak o firmie wiadomo, że zbiera dane o użytkowniku i nawet za pomocą przestępstw dąży do dominacji na rynku (np. taki microsoft) to wszyscy klapki na oczy, knebel w usta i milczą na ten temat – a kto go porusza jest fanatykiem.

        A jak Google nigdy na niczym nie wpadł, puki co jest czysty jak łza i przestrzega swojego hasła "don't be evil", to ci sami "antyfanatycy" wymyślają teorie spiskowe i próbują wcisnąć wszystkim kłamstwa i oczerniać sprawnie i legalnie działające firmy.

        Przecież to pachnie chorobą psychiczną…

        1. Awatar kwahoo
          kwahoo

          http://www.sjp.pl/co/p%F3ki

          Zasada domniemania niewinności obowiązuje dalej…

        2. Awatar oO
          oO

          @kwahoo
          Jak widać nie w przypadku google…

        3. Awatar abcman
          abcman

          @oO – Google na niczym nie wpadł? A sprawa współpracy z władzami chińskimi wtedy, kiedy to było przed atakiem chińskich hakerów na Google, to co to było? A przecież ta współpraca polegała na ujawnianiu tożsamości chińskich dysydentów (i być może jeszcze zawartości ich skrzynek pocztowych – nie wiem tego, bo takie szczegóły współpracy są tajne). W Chinach takie ujawnianie to wyrok śmierci. Czyli Google ma krew na rękach razem z tym swoim "don't be evil".

        4. Awatar blog.szsz.pl/
          blog.szsz.pl/

          Możesz podać jakieś dokładniejsze informacje?

          Z tego co wiem tożsamość właścicieli skrzynek ujawniały Yahoo i Microsoft (bez oczekiwania na wyrok sądowy).

      4. Awatar marcinsud
        marcinsud

        Co ja proponuję? Założyć sobie pocztę na własnym hostingu. Nawet darmowe hostingi to oferują.

  2. Awatar Najek
    Najek

    Podobne błędy projektowe ma samba i linux, no i niestety IE, choć ostatnio bardzo wiele się poprawiło.

    1. Awatar Sławek
      Sławek

      Samba ma być kompatybilna z Windows. Windowsy jakoś negocjują takie rzeczy? Jeżeli chcemy zmienić nazwę swojego użytkownika w domenie Windows(a na serwerze jest Windows), to chyba do niczego złego nie powinno dojść.

    2. Awatar marcinsud
      marcinsud

      w którym miejscu podobne? Jeśli chodzi tylko o słowo 'projektowe' to ja mogę napisać, że opel astra II ma podobne błędy projektowe co poczta na wp.

    3. Awatar oO
      oO

      Samba faktycznie ma błędy projektowe w samym protokole. Pewnie dlatego jest taka popularna w microsofcie.

      IE to jeden wielki błąd. A zmiany kosmetyczne niczego nie poprawiły. Patrząc na ostatnie wydania popularnych przeglądarek FF, Opera, Safari i inne webkitowe przeglądarki mają porównywalną prędkość, a IE jest od nich 2 razy wolniejszy. Chyba czas mu umierać…

      Dodam jeszcze bezsensownie zaprojektowany windows z pogardą dla warstwowości i rażącymi błędami bezpieczeństwa, np. UAC w windows 7, którego microsoft oficjalnie nie zamierza poprawiać, bo… vista miała ten sam błąd projektowy w UAC. Świetne wytłumaczenie, poza tym tą wypowiedzią sami przyznali się do błędu projektowego w systemie uwierzytelniania.

      Ale jakie błędy projektowe są w Linuksie? Mógłbyś rozwinąć temat?

      1. Awatar trasz
        trasz

        @oO: Wiesz, sorry ze sie czepiam, ale uparcie rozsiewasz FUD na temat protokolu SMB. Nie, SMB nie ma bledow projektowych wiekszych niz na przyklad NFSv3. Nie sadze, zebys przyjal to do wiadomosci, ale ktos kto czyta twoje komentarze moze nie zdawac sobie sprawy, ze ma do czynienia z notorycznym klamca.

        A co do bledow projektowych w Linuksie – znaczy, chodzi ci o bledy projektowe odziedziczone po Uniksie (na przyklad mozliwosc uzywania znakow niedrukowalnych w nazwach plikow czy ogolny design sys5 ipc), czy o "autorskie" bledy Linuksa, w rodzaju VFS-a postawionego do gory nogami, przez co rzeczy w rodzaju serwera NFS albo nietypowego modelu uprawnien wymagaja uzycia dziwacznych hackow?

  3. Awatar Sławek
    Sławek

    Dosyć niebezpieczne, zaważywszy, iż wiele osób korzysta z tych samych haseł. Jest tylko jedno ale: zakładanie, że dostaniemy się do tej samej sieci, dosyć niezabezpieczonej, jest dosyć huraoptymistyczne. Problem ten jednak trzeba zażegnać.

    1. Awatar oO
      oO

      Jeśli wybierzesz konkretny cel ataku, to faktycznie. Ale co przeszkadza zbierać dane losowych osób z niezabezpieczonych sieci wifi?

  4. Awatar korro
    korro

    Nie użytkownik, tylko ktoś kto zarządza ruterem, a to spora różnica.

    1. Awatar oO
      oO

      patrz: niezabezpieczone hotspoty

  5. Awatar Yeti
    Yeti

    Popularność WP wynika z tego, że jako pierwsza dawała darmowe w miarę przyzwoite konta pocztowe (wcześniej był chyba polbox)

    Osobiście mam 1 konto na WP, ale prawie tam nie zaglądam.

    A tak ogólnie – admin fail 😛

    1. Awatar oO
      oO

      Onet dawał znacznie lepsze i nie wiem czy nie wcześniej od wp.

    2. Awatar korro
      korro

      Między polboxem a wp był jeszcze kkk.net.pl

  6. Awatar fisher
    fisher

    Podobna "dziura" występuje w przypadku zmiany hasła do konta allegro. Przy wpisywaniu hasła, poprzez xhr wysyłane jest hasło plain textem w dodatku po protokole http.

  7. Awatar Lucer
    Lucer

    Wygląda na to, że już to poprawili. Zmiana hasła i danych jest po SSL.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *