Gyurkity Péter

Sebezhetők a népszerű közösségi oldalak

A héten lezajlott két nagy amerikai hackerkonferencián külön témát szenteltek a népszerű közösségi oldalak helyzetének, arra figyelmeztetve az internetezőket, hogy ezen portálok túlontúl sebezhetők.

A Black Hat, valamint a DefCon résztvevői egyaránt beszédeket és illusztrációkat tartottak, amelyek a közösségi oldalak, így például az igen népszerű MySpace jelenlegi helyzetére koncentráltak. A végkövetkeztetés minden esetben ugyanaz volt: a közösségi portálok sebezhetők és nem tudnak védekezni a jól kidolgozott támadások ellen, amelyek az ismert hibákra építenek.

Mindkét találkozó több ezer biztonsági szakember részvételével zajlott, illetve zajlik. A Black Hat szervezői 4 ezerre, a DefCon illetékesei pedig 6800-ra teszik a látogatók számát. Az érdeklődés szintjét jól jelzi, hogy utóbbi helyszínen eltávolították az NBC egyik riporternőjét, miután kiderült, hogy rejtett kamerával rögzíti az eseményeket. A beszámolók és előadások több területet is érintettek, ám a legszélesebb tömegeket valószínűleg a közösségi oldalak sebezhetősége érinti, amely a szakértők szerint nagy veszélyeket hordoz magában.

A MySpace és társai ugyanis több száz, több ezer sebezhetőséget tartalmaznak és pusztán ezek nagy száma miatt eleve kizárható, hogy minden ilyen hibát időben sikerül befoltozni. A sebezhetőségek közül kiemelkedik az úgynevezett "cross-site scripting" amelynek során egyéb weboldalak alkalmazásával kártékony kódot ültetnek a célpontba, kialakítva a jövőbeni támadás sikerét elősegítő körülményeket. Bár a népszerű böngészők fejlesztői folyamatosan javítgatják az ilyen és hasonló jellegű sebezhetőségeket, a teljes biztonságra nincs garancia. Siker esetén pedig a támadók megszerezhetik a felhasználók jelszavait, bejuthatnak a postafiókokba és egyéb személyes adatokra tehetik rá a kezüket.

Az egyik bemutató során sikeresen bejutottak a Gmail szolgáltatás egyik felhasználói fiókjába, kihasználva a nyilvános vezetéknélküli hozzáférés sebezhetőségét és ily módon megszerezve a süti fájlokat. A Google nem kommentálta a bemutatót, mindössze arra tett ígéretet, hogy minden felhasználó számára automatikusan engedélyezik a titkosítást, minimalizálva ezzel a támadók esélyeit.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • eax #9
    Es jobb helyeken tesznek bele salt-et is, hogy ne lehessen rainbow table-el helybol vegigtorni az egeszet.

    megrab: ez eleg erdekesnek hangzik, tudod reprodukalni?
  • selyem #8
    Nem akkarok belemeni de elméletben lehet ami mondtál. de gyakorlatilag 0 az esélye hogy te véletlenűl talász sha-1 vagy md5 ütközést. (két ugyanolyan jelszót ami nek megyezik a lenyomata tényleg 0 az esélye)
  • selyem #7
    Ugyan nem vagyok fent iviv en de kizártanak tartom amit mondtál.
    Ugyanis ők sem találák fel a spanyol viaszt, és használták a jól bevált receptet.
    nagy vonalakban.
    md5el vagy mondjuk sha-1 lenyomatot készitenek a jelszavadról ezt eltárolják az adatbázisban ez regisztrációnál történik.
    belépnésnél meg újra lenyomatot készitenek a jelszavadról és ezt hasonlitják össze az adabázisban lévővel, ha egyezik akkor beléhetsz ha nem akkor nem.
    "ez egy jelszo" így néz ki
    sha-1 benn:33869f83b9df7ff671c29585a951c1d5c3776ab4444
    egy betű eltérés és már teljesen megváltozik az sha-1 hash. (md5 hash is)
    "ez egy jelszó" így néz ki
    sha-1 benn:ed7b17566eed6707d47de48c0c599653eda6833a444

    Tudatom veled hogy a jelszód rendes formában nem szokták eltárolni. csak így hashel.
    Ezzekből a hashekből nem lehet visszafejetni a rendes jelszód!! Ez lehetetlen de nem kezdem el magyarázni miért...
  • megrab #6
    Az iwiwről anyit, hogy több különböző jelszóval engedi a belépést, ha elgépelem akkor is beenged. Így gyakorlatilag bárki feltörheti a fiókokat, ha a rendszer még a helyes jelszavakat sem követeli meg a userektől.
  • braeburn #5
    Ami népszerű, általában gagyi. Egyébként tényleg mit tudnak meg rólunk? Ma "á"-t mondok, hplnap "b"-t és aztán kapják be. :)
  • Abu85 #4
    Célirányos reklámok. Tudják mit szeretsz, mit veszel gyakran és mit szeretnek a barátaid. Ezek az információk borzalmasan sokat érnek a piacon. Nembeszélve arról, hogy a legtöbb személy behatárolható 5-6 ismerősön keresztül.
  • kernerster #3
    Aztán mit tudnak meg tőlem? Hogy mikor találkozom a barátnőmmel? A TITKOS epertorta receptemet? hogy mikor születtem? Bocs de nekem mindegy, nem mozgok olyan körökben, ahol az adataim fontosak lennének bárki számára, na jó max a reklámszakembereknek.
  • peba #2
    Hát én is szívesen magaménak tudnék pár myspace accot aminek darabján 10-20 ezer barát csücsül... lehet már velük mit kezdeni.