В последнее время все чаще случаются такие ситуации, когда один из ваших друзей в социальных сетях сначала просит перевести срочно денег, а потом через какое-то время пишет о том, что его «взломали». Я не зря взял в кавычки слово «взломали». Лично я под словом «взлом» понимаю нечто другое. А когда «ломают» аккаунт в одноклассниках, то скорее всего жертва сама отдала на каком-нибудь фишинговом сайте свои пароли и явки. Но в этой заметке речь пойдет не об этом. Сегодня я хотел бы простыми словами рассказать о такой штуке как session hijacking. На русский это можно перевести как «похищение сессии». Так вот, что такое «сессия», зачем ее похищать и причем здесь пароли? Давайте разбираться.
Сессия
Представьте себе организацию со строгим контрольно-пропускным режимом. На главном входе сидит грозный вахтер и чтобы попасть внутрь, вам нужно отметиться у него и показать паспорт, доказывая что вы это вы. Вахтер проверяет, есть ли вы вообще в списках на проход в здание и какие у вас есть права на перемещения внутри здания. Чтобы при перемещении внутри здания между секциями не приходилось каждый раз снова показывать паспорт, вахтер выдает вам карту для СКУД, на которой прописаны разрешения на перемещения внутри здания. Мало того, получив карту, вам не нужно показывать паспорт даже вахтеру на входе.
Итак, в этой аналогии защищаемое здание это веб-ресурс (например, социальная сеть), вахтер это система идентификации и аутентификации этого ресурса (страница где вы вводите логин и пароль), паспорт это собственно сами логин и пароль, а карта для СКУД это и есть сессия (точнее — ее идентификатор). Как можно догадаться, сессия нужна для того, чтобы не нужно было вводить заново логин и пароль при повторном посещении того или иного сайта, а также не будь у нас механизма сессий, нам пришлось бы вводить наши учетные данные при каждом перемещении между страницами одного и того же сайта.
Похищение
Из этой же аналогии видно, что если злоумышленник похитит сессию (карту СКУД), то чтобы попасть в здание, перемещаться внутри с заданными для вас разрешениями и производить некоторые действия, ему не нужен будет ваш паспорт, то есть логин и пароль. Соответственно, похитив и подделав сессию, злоумышленник не имея в своем распоряжении логина и пароля, может представится вами серверу и производить все те же действия, что доступны и вам, например рассылать спам вашим друзьям.
Такое похищение возможно, когда информация между клиентом и сервером передается в незащищенном виде. Я не хочу сказать, что после взлома, пароли менять не нужно. Я хочу сказать, что после таких инцидентов нужно провести работу над ошибками и задать себе несколько вопросов (пример для соцсети VK):
- Установлена ли у вас в настройках опция «Всегда использовать защищенное соединение (HTTPS)»?
Если да, то возможно все-таки похищен был именно ваш пароль, если нет, то задайтесь следующими вопросами:
- Пользуетесь ли вы для доступа в соцсеть неофициальными приложениями?
- Часто ли вы пользуетесь открытыми точками доступа?
- Можете ли вы доверять используемым закрытым точкам доступа (уверены ли вы, что другие люди, знающие пароль не прослушивают сетевой трафик)?
При отсутствии шифрования канала связи, использование неофициальных мобильных приложений, открытые хотспоты и прослушивание сетевого трафика является прямым путем к похищению сессии. Самое печальное это то, что хозяин аккаунта может и не узнать об аномальной активности, пока ему не сообщит кто-то из друзей или пока его аккаунт не будет заблокирован. Все вышесказанное актуально не только для соцсетей, но и для других веб ресурсов с авторизацией, будь то интернет-магазины, форумы и т. д.
Хоть это и не панацея, но по возможности всегда нужно использовать защищенное соединение https. К сожалению, явно отследить наличие https можно только при доступе к ресурсам через браузер. При таком же доступе через мобильные приложения сделать это уже сложнее.
После взлома сменить все пароли будет не лишним, но если причиной «взлома» было похищение сессии, то скорее всего проблема возникнет снова.Помните об этом и безопасного вам серфинга.
