Ako sa kradne účet na Facebooku. S Androidom to máte za päť sekúnd
Ak sa naučíte ovládať Wireshark a máte prehľad o sieťových protokoloch, dozviete sa z neho takmer všetko. Pre bežného smrteľníka ale nie je. –
Do kategórie sniffer a paketových analyzátorov patrí aj doplnok pre Firefox Firesheep, aplikácie SSLSniff a nakoniec aj android program FaceNiff. Dnes o ňom bude reč, je totiž neskutočne zákerný a pritom tak jednoduchý …
FaceNiff
FaceNiff je paketový analyzátor pre operačný systém Android s administrátorskými právami. K jeho chodu teda budete potrebovať takzvaný root telefónu, čo našťastie väčšinu z vás odradí. Pri rastúcej popularite CyanogenModu a ďalších neoficiálnych rootnutých ROM je to ale vlastne tiež len kozmetika.
FaceNiff sa oproti wireshark líšia v tom, že ho dokáže ovládať úplne každý, jedná sa totiž o jedno účelovú aplikáciu. Analyzuje komunikáciu v sieti a hľadá tie dátové pakety, ktoré tečú na servery Facebooku. Vďaka tomu aplikácia vypíše zoznam ľudí, ktorí vo vašej sieti práve komunikujú na tejto sociálnej sieti. Tým to ale nekončí, odhalí totiž aj ich session ID – jedinečný identifikátor spojenia, pomocou ktorého vám umožní prístup do ich profilu. Ako je to možné? To sa dozviete v ďalšom odseku.
Štart aplikácie FaceNiff je až trestuhodne jednoduchý, v podstate stačí dva kliky
Dropbox, Google, Facebook … Všade je to rovnaké
Prihlasovanie do väčšiny webových služieb funguje na princípe session – jedinečného identifikátora, ktorý prehliadač získa v momente úspešného prihlásenia. Ten si potom prehliadač drží po celú dobu spojenia, často v pamäti cookies. Kedykoľvek potom od služby niečo potrebuje, treba skrze ajax kontroluje, či vám neminul nový e-mail, serveri v dotaze pošle aj tento identifikátor, aby druhá strana vedela, kto sme. Vďaka tomu sa pri každom obnovení stránky – pri každom dotaze nemusíme opäť zložito prihlasovať.
Problém nastane vtedy, keď sa tento identifikátor odosiela nešifrovane – čo je stále najčastejšie, keďže služieb, ktoré ponúkajú SSL, zase nie je toľko. Ak by v takom okamihu použil útočník niektorý z vyššie menovaných programov, celkom ľahko by tento identifikátor zistil a mohol by ho zneužiť.
Na podobnom princípe zabezpečeného prihlasovania, ale už nie identifikátora možno prelamovať:
Facebook sa v predvolenom stave chránia len napoly. Žiadny nechcený poslucháč nezistí vaše prihlasovacie meno a heslo, pretože pri autentizáciu sa vždy používa SSL. Avšak potom už komunikujete cez bežný HTTP protokol a všetky informácie sú pre záškodníkov čitateľné.
Ovládnite cudzie Facebook na dva kliky
Je to pravda? Nedalo mi to a nainštaloval som si FaceNiff na svoj Android. Namiesto oficiálnej ROM používam CyanogenMod 7 s root, takže to bolo veľmi jednoduché. Stačilo sa skrz Wi-Fi pripojiť do firemnej siete a spustiť program. Ten začne okamžite skenovať komunikáciu v sieti, a ak odhalí dátové pakety s identifikátorom spojenia na Facebook, vypíše napadnuteľné kontakty.
Zoznam nájdených facebookových kontaktov v lokálnej sieti. Ak na niektorý z nich klepnem, dostanem sa na profil s odcudzeným identifikátorom a získavam k nemu rovnaké práva ako jeho skutočný majiteľ.
Potom už len stačí kliknúť na ikonu nešťastníka a v prehliadači sa otvorí stránka s Facebookom a podvrženým identifikátorom. Hoci teda nepoznáte heslo facebookového účtu, získate absolútnu moc nad jeho profilom. Môžete pod jeho menom písať správičky, prezerať fotky, prípadne rovno všetko zmazať. Facebook si jednoducho vďaka ukradnutému identifikátora myslia, že ste niekto úplne iný. Rovno vás ale varujem, že takým konaním hrubo porušíte zákon.
Vďaka masovému používanie veľmi jednoduché
Môžete namietnuť, že ako útočník môžem čakať celé hodiny, než niekto v sieti použije Facebook a vyšle paket s identifikátorom, v skutočnosti to ale bude trvať len pár sekúnd. Facebook načítaný v prehliadači totiž vďaka Ajaxu neustále niečo posiela na svoj server, komunikuje na pozadí prehliadača, takže nejaký ten identifikátor vo väčšej sieti objavíte skutočne veľmi rýchlo.
Oveľa väčšie nebezpečenstvo ale čaká na osadenstvo nejakej letnej záhradky pri reštaurácii. Každá druhá dnes totiž ponúka Wi-Fi pripojenie a vo väčších mestách máte v podstate takmer istotu, že bude v blízkosti niekto komunikovať na Facebooku. U mobilných aplikácií by nemal byť problém – tie by mali používať SSL v každom prípade, ale tie ostatné zistíte.
Ako sa proti tomu brániť?
Obrana je relatívne jednoduchá: komunikujte na Facebooku vždy a výlučne skrze SSL šifrovanie. Ako to nastaviť? Prihláste sa na Facebook, hore v lište kliknite na Účet, v menu potom na Nastavenia účtu a v dialógu potom nájdite voľbu Zabezpečenie účtu. Tu nakoniec začiarknite možnosť Prehľadávať Facebook pomocou zabezpečeného pripojenia (HTTPS), kedykoľvek je to možné. Odhláste sa, prípadne vymažte cookies, prihláste sa a už by ste mali byť neviditeľní. Aj keď kto vie, aká potenciálny dvierka pre internetovými vyzvedačmi ešte nechal Facebook pootvorené.
Prinúťte Facebook komunikovať pomocou SSL
Podobných nástrojov nájdete na webe celú hromadu, princíp útoku je totiž starý ako web samotný. FaceNiff sa orientuje rýdzo na Facebook, však podobným spôsobom odhalíte v všeobecných sniffer session prakticky ku všetkým službám, ktoré fungujú na podobnom princípe. U služieb, ktoré k prihlasovanie nepoužívajú SSL, potom hrozí aj pomerne veľmi jednoduché zistenie vášho hesla a v takom prípade vám ani v najmenšom nepomôže to, že ste si vybrali super odolný heslo, ktoré by mali hackeri zdolávať 250 000 000 000 rokov.
Internet ani zďaleka nie je tak bezpečný a anonymný, ako si občas naivne myslíme.
Tento článok nie je návodom na páchanie trestnej činnosti, len som na ňom ukázal, ako zraniteľné sú každodenné webové služby bez použitia SSL. Program nehľadajte na Android Marketu a prípadne očakávajte ďalšie komplikácie, ty tu ale vysvetľovať nebudem. Aplikácia je zároveň platená. V režime freeware vám odhalí iba prvé tri účty.
