Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przejmują konta pocztowe (w szczególności Gmail), nie potrzebując nawet hasła ofiary. Omijają też dwuczynnikowe uwierzytelnienie.
O akcji ostrzega FBI, wskazując na znaną od wielu lat technikę polegającą na wykorzystaniu skradzionych ciasteczek sesyjnych. W szczególności atakujący kradną, ważne przed długi okres ciastka związane z funkcją „zapamiętaj mnie na tym komputerze przez 30 dni”.
Atakujący wykrada takie ciastko, używa w swojej przeglądarce (lub narzędziu) – i „magicznie” jest zalogowany na koncie ofiary (bez konieczności podawania loginu/hasła i ew. 2FA). W skrócie – przejmuje zalogowaną sesję ofiary.
Ale jak konkretnie atakujący wykradają te ciasteczka? Tutaj dobra informacja bo najcześciej ofiara musi wcześniej zainfekować swój komputer (np. otwierając załącznik z e-maila phishingowego). Niektórzy wskazują np. logowanie się do niezabezpieczonych sieci WiFi – ale umówmy się – który sensowny serwis / dostawca poczty nie wymusza obecnie połączenia https?
Garść rad na koniec:
- w serwisach webowych unikaj zaznaczania opcji typu „zapamiętaj mnie przez x dni”
- od strony twórcy aplikacji, można wymusić powiązanie ciastka sesyjnego z konkretnym adresem IP łączącej się osoby. Ale z racji, że czasami taki adres się zmienia w przeciągu kilku dni, to prawie nikt nie włącza ww. opisanego mechanizmu
- pamiętaj, że jeśli masz zainfekowany komputer (lub logujesz się np. do poczty elektronicznej na zainfekowanym komputerze znajomego), to nie pomoże żadne 2FA (łączenie z kluczem sprzętowym Yubico)
Potrzebujesz szkolenia o bezpieczeństwie dla wszystkich pracowników? Pisz do nas na sekurak@sekurak.pl lub zobacz szczegóły tutaj.
~ms
Twórca strony może sprawdzić czy sesja jest wznawiana z tego samego kraju co poprzednio i z tej samej przeglądarki. Serwis może też zapamiętać najczęściej używanych operatorów internetowych przez użytkownika i jeśli nastąpi połączenie z sieci nowego operatora, usunąć sesję, wymusić logowanie.
Na papierze pomysł dobry natomiast znajdzie się spora liczba osób które przez takie restrykcje musiałyby się logować po x razy dziennie. Byłoby to szczególnie uciążliwe dla tych osób natomiast useragent przegladarki atakujący może podmienić bardzo prosto… Dobrze kombinujesz ale nikt tego nie wprowadzi ze względu na wygodę użytkowników masowych.
narzędzia typu BLTools już ci od razu sprawdzają w jakiej przegladarce ciasteczka działają
Twórca może.
Ale nie musi.
Jaki jest procent stron którym twórcom się chciało ?
Używać przeglądarki w trybie incognito xd
głupi jestem ale czy po takim wgraniu ciasteczka na innym urządzeniu, strona nie mogłaby wywalić jakiegoś testu typu: podaj 2fa xD xD xD chyba lepiej dać uciążliwe potwierdzenie niż dać łatwy dostęp do konta xD co sprawia że nie chcą wdrażać takich testów ? gdy strona wykryje dzięki trylionom telemetrii windowsa/androida/google że logujesz się 5000km od ostatniego miejsca logowania xD
Można (niektóre aplikacje coś takiego nawet stosują), ale to dodatkowa komplikacja, potencjalne false positives, etc
Dodatkowo – w przypadku np. banku gra jest warta świeczki. Ale w przypadku dostawcy darmowej poczty…
A jako opcja do wyboru? – Kto chce, niech włączy.
Z tymi adresami IP… czy ktoś robił badania ile razy na dzień/tydzień/miesiąc zmieniamy adres IP? Może wcale nie jest to tak często? Mi by nie przeszkadzało logowanie co kilka dni.
Żartujesz? W artykule piszecie że używając poczty po https jesteśmy bezpieczni nawet pod publicznym hotspotem – to jest nieprawda. Atakujący może podstawić własny certyfikat i czytać cały ruch.
Ta „tylko” darmowa poczta może dać dostęp do logowania do Facebooka, banku, sklepów internetowych i otworzyc droge do wielu phishingowych ataków na znajomych ofiary.
Pro tip: alerty w przeglądarce o takim działaniu + konieczność zaakceptowania tego alertu. A bardzo często (poczta, banki, …) nawet brak możliwości zaakceptowania alertu na całą stronę (AKA HSTS).
~Jedyny sensowny atak via publiczne WiFi to podstawienie własnego captive portalu i próba wyłudzenia na nim danych logowania.
Hmm. Do Googla na 2fa nawet jak ktoś ciasteczko ukradnie, albo nawet zna hasło to przy próbie logowania z innego mac adresu jest od razu podrzucany mail. Czy aby na 100% to Ty. Jednym klikiem zamykamy mu sesję.
Jeśli śledzisz swoją pocztę 24/7 to takie powiadomienie ok. Ale wiekszość ludzi tego nie robi.
Nic nie trzeba śledzić, powiadomienia ci nie przychodzą na smartfon?
Przecież na tym problem właśnie polega, że strona nie wie że ciastko jest już na innym urządzeniu. Zostało skopiowane z przeglądarki użytkownika i przesłane do sprawcy.
Czy ustawienie w przeglądarce opcji usuwania ciasteczek po zakończeniu każdej sesji nie rozwiązuje tego problemu?
co z tego że usuniesz w swojej przeglądarce jak po stronie serwera ciągle będzie aktywne. więc ukradzione dalej można używać.
Myślę że usunięcie z zalogowanych urządzeń sesji byłoby najbezpieczniejsze. Tylko pewnie najlepiej by było to zrobić na zaufanym urządzeniu. I jeszcze zresetować klucz stremongi live na YT jeśli ktoś prowadzi kanał.
A ja się zastanawiam dlaczego ciastka nie są powiązane z konkretną przeglądarką. Chodzi mi o to, że gdy strona zapisuje ciastko na komputerze użytkownika to te ciastko powinno być ważne tylko w tej, konkretnej, indywidualnej przeglądarce. Powinien być wyliczany jakiś hash i przyklejony do ciastka. Skopiowanie ciastka do innej przeglądarki powinno spowodować niezgodność hashu ze wzorem przeglądarki i ciastko straciłoby ważność.
Masz na myśli chyba bardziej powiązanie z jakimiś nagłówkami HTTP wysyłanymi do serwera (bo tylko w taki sposób komunikuje się przeglądarka z serwerem – tj. protokół HTTP).
Ale jak malware ma dostęp do komunikacji HTTPS(S) ofiary (a ma), to skopiuje sobie wszystko i end of story. Nie ma tu znaczenia przeglądarka.
To co ew. może być podejrzane dla serwera to nagle inny adres IP klienta (np. z różnych krajów). Ale powiedzmy na to też są sposoby :|
Ale jak komputer jest zainfekowany, to dalszy atak można już wykonać z komputera ofiary. Tak naprawdę gdy twoje urządzenie jest zainfekowane to już może być pozamiatane.
Gmail od dawna nie używa ciasteczek… Od wielu, wielu lat.
Co z zapamiętywaniem haseł w przeglądarce lub menadżerach haseł podłączonych do przeglądarki? Czy należy z tego zrezygnować w celu uchronienia się przed tym ?
Generalnie jest OK.
Z paroma gwiazdkami:
* jak masz malware na kompie – to wyciągnie te hasła (nieco łatwiej niż z managera haseł)
* synch do Google – jak masz słabo zabezpieczone konto (np. słabe hasło) – to patrz wyżej. Lepiej robić to bez synca.
* jak masz przypadkiem konto dzielone z rodziną na jednym kompie, to Ci bez problemu wyciągną hasła z przeglądarki ;)
dlatego od czasu do czasu warto wejść w ustawienia i sprawdzić wszystkie aktywne sesje, a potem się z nich wylogować. gmail. fb. x.
Mam trzy hasła.
1 – do banku.
2 – do upierdliwych stron, które wymagają długiego hasła z cyframi i znakami.
3 – do pozostałych stron. Używam go od 2006 roku. To hasło chula po necie, wyciekło dziesiątki razy i nie widzę sensu w wymyślaniu nowego skoro kolejne i tak zaraz gdzieś wycieknie.
Nie wiem gdzie przeciętni ludzie się logują i co takiego robią w necie, że się boją wykradzenia hasła.
Poza tym, parę lat temu poznałem dziewczynę o którą jakiś gość był chorobliwie zazdrosny i przez rok grzebał mi w telefonie, nawet cytował mi o czym rozmawiałem ze znajomymi, podczas, gdy telefon leżał na stole. Zmiany haseł nie miały sensu, bo miał full dostęp do telefonu, pewnie przez jakiś bug w którejś aplikacji, a nawet gdy próbowałem się z nim bawić
i zmieniałem hasło do FB z kompa znajomego to mimo dwuetapowego logowania gość po mniej więcej godzinie pisał do mnie zadowolony jakie mam hasło.
Czy mnie to zmartwiło? Nie. Przez ten rok powtórzyłem mu chyba z milion razy, że jest cymbałem i może pocałować mnie tam, gdzie słońce rzadko dociera i tyle.
Nauczyło mnie to tylko tyle, że nawet będąc informatykiem i teoretycznie wiedząc jak to robią to i tak wszystkich możliwości nie zablokuje.
A ten gość wiedząc, że mi wszystko wisi nawet nie miał możliwości, żeby mnie jakoś przestraszyć.
Nie wiem co trzeba robić w necie, żeby się chować za silnymi hasłami i bać się, że ktoś odkryje prawdę…
O rety, nie sądziłem, że w 2024 przeczytam takie coś.
Pozbądź się tego egocentryzmu i zrozum że oprócz Ciebie istnieją jeszcze firmy dla których wykradzione hasła oraz ciasteczka to duże wyzwanie..
Chciałbym tak wejsc na konto zmarlej przyjaciółki i odzyskac nasze wspolne zdjęcia. Policja ich nie wydała bo nie mieli w tym interesu. Ale nie mam jej ciasteczek. Ehh. Za chwile google skasuje jej konto bo sie nie logowala 3 lata. Nic mi nie zostało. :(
Skąd wiesz że jest zalogowana?
Typ mówi że zaraz minie 3 lata, zalogowana? Chyba do 30 dni… Przecież to scum, kolo szuka naiwniaka co mu harytatywnie shakuje konto obcej kobiety. Jakby chciał to by poszedł do rodziny i poprosił o sprawdzenie hasła na jej urządzeniu, do grobu wszystkich urządzeń nie wzięła.
Autoryzacja po mac adresie rozwiaze problem. A w banku mówimy o szyfrowaniu asymetrycznym więc tu nic nie grozi na bank!;)))
Korzystaj z karty ,bo masz do 7dni na reklamacje
Prawda jest taka, że nie łamie się zabezpieczeń a ludzi. Swojego komputera i ciasteczek nie upilnujesz. Chyba ,że oderwiemy prad;D
Szyfrować ciasteczka w oparciu o klucz adresem fizycznym karty+numerem seryjnym dysku twardego+…..+unikalnym tajnym haszem nazwy użytkownika zalogowanego w sesji. Tak aby ciasteczko skopiowane z innego kompa było bezużyteczne:)
To z IP dobre ale lepiej wybrać MAC najczęściej jest jeden druga sprawa co do IP to jeszcze można pobierać 2 pierwsze numery one są najczęściej przypisywane do danego regionu/kraju
Przeglądarka nie wysyła numeru MAC karty sieciowej do serwera. Nie ma czegoś takiego w protokole HTTP ani nie da się tej informacji pozyskać przez javascript. Adres MAC funkcjonuje na warstwie drugiej w ramkach ethernet i jest nadpisywany przy każdym przejściu przez router. Serwery nie znają twojego adresu MAC.
Poza tym jeżeli masz wirusa na komputerze to on wykradnie twoje ciasteczka i numer MAC jeżeli będzie miał na to ochotę.
Nawet najbardziej wymyślny system przegrywa z beztroską użytkownika. Edukacja edukacja edukacja…
Ok, czym najlepiej przeskanować komputer, żeby sprawdzić czy nie jest zainfekowany. Czy jest jeden program czy trzeba kilkoma?
Musisz zainstalować kilka programów antywirusowych, najlepiej uruchomić je wszystkie jednocześnie żeby komputer się grzał i ugotował wirusa.
A tak serio to Malware bytes.
A nie wystarczy wprowadzić dwuetapowej weryfikacji do zmiany hasła? Chcesz zmienić hasło musisz je potwierdzić kodem z innego maila czy telefonu i sprawa rozwiązana. Chłopaki z google za dużo się bujają na tych ławkach i nie wpadają na najprostsze rozwiązania
ale tu w ogóle nie jest wykorzystywana funkcja zmiany hasła
Według mnie najprościej jest nie klikać w żadne linki i usunąć mail, wiadomość z owym linkiem, używać przeglądarki np. tor, nie podawać żadnych haseł nikomu etc. i sprawa zakończona.
MBank ma to fajnie rozwiązane. Jak loguję się z tego samego kompa ale w innym mieście to i tak mnie prosi o potwierdzenie w aplikacji mobilnej. Za to w swoim domu mogę się logować cały czas tylko loginem i hasłem bez konieczności dodatkowego potwierdzania. Oczywiście każda zmiana lokalizacji wymusza ponowną weryfikację, ale w domu klikam „zapamiętaj to urządzenie”, a nie „zezwol na jednorazowy dostęp” i problem z głowy.
A nie wystarczy po prostu potraktować kompa cleanerem? I usuwać ciasteczka?
Logując się na zainfekowanym urządzeniu, wystarczy się na nim wylogować po załatwieniu sprawy i 2FA jak najbardziej pomaga.
Mhm. Na pewno znacznie minimalizuje ryzyko (btw nie zazwyczaj cieżko będzie stwierdzić czy akurat logujesz się na „zainfekowanym” urządzeniu, więc w zasadzie każde niezaufane trzeba traktować jako „zainfekowane”).
Czy logowanie się do banku na przeglądarce w trybie incognito, które jest zamykana po wylogowaniu, utrudnia wykradzenie ciasteczek ?
A w jaki sposób przejmują konta Microsoftu czy na Facebooku? Myślę że w podobny. Mnie jeszcze nie przejęli. Ale znajomym już tak.
Nie wystarczy po prostu po stronie aplikacji (usługodawcy) weryfikować czy z jednej sesji korzysta obecnie więcej niż jeden klient? Jeśli tak to wyloguj na obu urządzeniach i wyślij powiadomienie do właściciela konta z informacją o potencjalnym wykradnięciu ciastek aktywnej sesji użytkownika itd.