Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
8-latka wyeksploitowała pewien drobny problem w Zoomie. Umożliwiło jej legalne opuszczenie nudnych lekcji w szkole :)
Cały wątek opisany został na Twitterze na końcu posta. W akcji 8-letnia siostrzenica pana, który relacjonuje tak:
Moja siostra ma trzy córki, które uczestniczą w szkole z wykorzystaniem Zooma. Pewnego dnia konto siostrzenicy przestało działać. Nie dało się po prostu zalogować.
Następny dzień – to samo. Po jakimś czasie ją wyrzuca i nie udaje się ponownie zalogować.
Trzeci dzień – ponownie. Próbuje wpisać hasło – za każdym razem jest komunikat 'incorrect password’. Rodzice razem z nauczycielem walczą przez godzinę nad rozwiązaniem problemu. Nic.
Dzień czwarty. Próbujemy połączyć z innego komputera, z innego adresu IP (może był na jakiejś blackliście). Masakra – nieprawidłowe hasło!
Kolejny dzień – pomaga nam support Zooma. Konto jest zablokowane – było wiele prób logowania z wielu adresów IP. Ale nikt nie wie o co tak naprawdę chodzi.
Szósty dzień – nauczycielka ma zapewne znajomych informatyków („zrebootuj – na pewno się naprawi”). Restartuje więc od początku całą klasę – nowe spotkania, nowe zaproszenia do kalendarza do wszystkich uczniów, etc. Nic. znowu to samo!
Drugi tydzień. Mama się poddaje, zaczyna uczyć córkę w trybie edukacji domowej. O super! – będę Ci mogła trochę pomagać w domu – odpowiada córka.
Jakiś czas później: mama będąc u znajomych przypadkiem zauważa, że córka była zalogowana do Zooma, ale po chwili kliknęła logout.
Podejrzane! Mama wdraża więc protokół śledzenia poczynań swojego dziecka. Po niedługim czasie widzi co się dzieje. Córka niemiłosiernie nudząc się w klasie, specjalnie wpisuje złe hasło kilka razy żeby konto zostało zablokowane. Przy kolejnym logowaniu komunikat Zooma nie brzmi jednak ’account locked’ tylko ’incorrect password’.
Mamo, coś mnie nie chce zalogować Zooma… może pomogę Ci trochę w domu…?
–ms
Pytanie nieogarniętego (w życiu z Zooma nie korzystałem)
Trick małej polegał, że _powinno_ się wyświetlić 'account locked’ a wyświetla się 'incorrect password’? Czy też komunikaty błędów Zooma pisały szympansy pożyczone z Microsoftu i „by design” przy zalogowaniu na zablokowane konto jest 'incorrect password’?
Mylny komunikat nie koniecznie jest złym komunikatem. W wypadku hasła informowanie włamywacza o zablokowaniu konta jest głupim pomysłem lepiej żeby dalej próbował wpisywać hasło na zablokowanym systemie. Daje to duża szanse że będzie tracił zasoby i czas na atak który nie może zadziałać. Czas jest nacenniejszym zasobem włamywaczy. Jak im go marnujemy to zyskujemy przewagę. Jak utrudniamy im dotarcie do tego czy ich działania są skuteczne czy zablokowane oni tracą czas i zasoby a my czas zyskujemy.
Prawdopodobnie aplikacja nie obsługuje odrębnie, o ile w ogóle wewnątrz rozpoznaje, przyczyn nieprawidłowego uwierzytelnienia.
Barak testow
Czterdzieści testów i nic..
Aż mi się przypomniała sytuacja w której na dworcu kilkuletnia dziewczynka zablokowała biletomat. Coś nawciskała i cały system windows sie zablokował xd.