На прошлой неделе исследователь безопасности
опубликовал сведения о новой
атаке, которая может способствовать удаленной краже куки, используемых для
получения доступа к аккаунтам на Facebook и других сайтах, путем эксплуатации
уязвимости в браузере Microsoft Internet Explorer. Независимый исследователь
Розарио Валотта продемонстрировал свою "cookiejacking" атаку на конференции
безопасности Hack in the
Box в Амстердаме. Во время этой атаки используется уязвимость, которая
присутствует во всех существующих на сегодняшний день версиях IE.
Продемонстрировав большие возможности своего маленького кода, программист
вставил ремарку: "С этим кодом я могу уводить учетные записи не только Facebook,
Twitter и Gmail, на которых тестировал жизнеспособность идеи, но, фактически,
любых социальных сетей. Вы можете увести любые куки. Затронута огромная
клиентская база: эта штука работает с любыми версиями Internet Explorer и
Windows".
Один из основателей WhiteHat Security, главный технический инспектор Иеремия
Гроссман отдал итальянцу должное и назвал его атаку "умной" (еще бы: технику
clickjacking в соавторстве с Робертом Хансеном изобрел сам Иеремия). Привожу
развернутый ответ немногословного Гроссмана: "В том случае, если взломщикам не
удастся найти подходящий межсайтовый скриптинг или clickjacking-уязвимость, у
хакеров всегда будет план Це: cookiejacking techniq".
А в компании Microsoft считают, что все это малоопасно. Ситуацию комментирует
Джерри Брайнт, сотрудник корпорации: "Нашу компанию не особенно заботит
новоявленная уязвимость IE. Для того, чтобы пасть жертвой такой замысловатой
схемы, нужно самому постараться: в определенной степени риск заражения
обуславливается "желанием" жертвы "помочь" мошеннику – уровень взаимодействия
между преступником и жертвой достаточно велик. Кроме того, украсть ваши куки
можно только с тех сайтов, на которых вы сейчас сидите. Все, что требуется от
вас – не разговаривать с незнакомцами и не ходить по незнакомым ссылкам".
Гроссман очень не согласился: "Думаю, они неправы. Как и многие другие
неизвестные до поры техники взлома, техника Валотты недооценена. Пусть атака не
самая изощренная, но в исполнении она проста. Если выразить в нескольких словах
позицию Microsoft, она прозвучит так: "Это мы уже видели. Скучно".
Реализация идеи взлома действительно проста: Валотта создал игру для Фэйсбука,
кусочки-паззлы прекрасной телом и душой женщины, собрав которую ты почти
добровольно отдаешь твои куки в руки итальянца. Играя на любви
интернет-пользователей к прекрасному, в первые три дня Розарио получил 80 куки,
сообщают Reuters News.
Как и любой другой паззл-гейм, этот требовал от участника известной
интеракции. Доверчивые пользователи полагали, что собирают женщину. На самом
деле они перетаскивали куки в соответствующую точку экрана, где данные
переписывались и отправлялись Валотте.
Резюмирует Джерри Брайнт: "Чего это вы переполошились из-за пустяка?
Успокойтесь. Берите пример с корпорации Microsoft. Бить тревогу мы не
собираемся. Поводов для выпуска срочных обновлений никаких нет. Как нет и
свидетельств эксплуатации уязвимости за пределами конференции HitB".
