Хакер #305. Многошаговые SQL-инъекции
Система шифрования веб-сайтов пропустила еще один удар, на этот раз от
независимого хакера, который вчера на конференции Black Hat в Вашингтоне
продемонстрировал утилиту, при помощи которой можно украсть важную информацию,
заставив пользователей поверить, что они находятся на защищенной странице, когда
на самом деле это не так.
Цель достигается конвертацией страниц, которые в обычной ситуации должны быть
защищены протоколом SSL, в их незащищенные аналоги. Причем обманывается как
сервер, так и пользователь, который продолжает верить, что защита никуда не
делась.
Презентованная Мокси Марлинспайком, эта методика становится в один ряд с
сайд-джекингом и подделкой сертификатов безопасности SSL. Марлинспайк говорит,
что программа SSLstrip срабатывает во многом благодаря тому, что большинство
сайтов, использующих SSL, имеют незащищенную главную страницу, предлагая
шифрование только для тех разделов, при соединении с которыми передается важная
информация. И когда пользователь кликает, к примеру, на странице авторизации,
утилита подменяет ответ сайта, меняя https на http. А веб-сайт тем временем
продолжает работать так, как будто соединение зашифровано.
Чтобы обмануть пользователей, в SSLstrip используется пара хитрых приемчиков.
Во-первых, в локальной сети разворачивается прокси-сервер, имеющий
действительный сертификат SSL, что заставляет браузер показывать в адресной
строке "https". Во-вторых, используется специальная техника для создания длинных
URL, которые содержат в адресе фальшивые символы "/" (для того, чтобы избежать
преобразования символов браузерами, Мокси даже пришлось получить сертификат для
домена ijjk.cn).
Чтобы доказать, что его схема работает, Мокси Марлинспайк запустил SSLstrip
на сервере, обслуживающем анонимную сеть Tor. За 24 часа ему удалось выловить
254 пароля пользователей Yahoo, Gmail, Ticketmaster, PayPal и LinkedIn. Он
подчеркнул, что после этого смог собрать и другую информацию, позволяющую с
точностью определить личность владельцев паролей.