Яндекс.Атака «Человек посередине»: простой перехват логинов и паролей

image

Теги: Яндекс, атака, пароль, MITM

Система авторизации Яндекса подвержена MITM (Man-In-The-Middle)-атаке: можно заставить Яндекс передавать логины и пароли в открытом виде, что влечет за собой угрозу их перехвата.

Система авторизации Яндекса подвержена MITM (Man-In-The-Middle)-атаке: можно заставить Яндекс передавать логины и пароли в открытом виде, что влечет за собой угрозу их перехвата. Для тех, кто не в курсе, что такое MITM (цитата из Википедии):

    Атака «человек посередине» (англ. Man in the middle, MitM-атака) — термин в криптографии, обозначающий ситуацию, когда атакующий способен читать и видоизменять по своей воле сообщения, которыми обмениваются корреспонденты, причём ни один из последних не может догадаться о его присутствии в канале.


Применительно к сетям, возможность перехватывать и в отдельных случаях изменять передаваемый трафик. Это грозит раскрытием логинов и паролей к сайтам. Для защиты от этого применяется SSL.

MITM на Яндексе

При входе на Яндекс логин и пароль честно передаются по SSL-протоколу. Но взглянем на часть исходного кода страницы авторизации с описание формы:

    <form name="MainLogin" action="http://passport.yandex.ru/passport?mode=auth" method="post" onSubmit="return Validate(this)">
    <input type="hidden" name="idkey" value = "09J1227657094S_n12UHU4">




Изначально в форме указано, что данные должны передаваться по нешифровнному каналу:

    action="http://passport.yandex.ru/passport?mode=auth"

Передавать данные по SSL заставляет скрипт forcehttps.js, который у всех форм меняет в свойстве action «http» на «https»:

    // Force HTTPS javascript
    //
    // $Id: forcehttps.js,v 1.3 2006-12-12 14:05:01 shurukhin Exp $

    (function(){
    var frm = document.forms.MainLogin;
    if(frm) {
     frm.action=frm.action.replace(/^http:/i, 'https:')
     frm.action=frm.action.replace(/^\//,'https://'+document.domain+'/')
    }
    })();




Если же этот скрипт не выполнится, то логин и пароль будут пересылаться в открытом виде.

Вывод

Если у атакующего есть возможность подменить или заблокировать скачивание forcehttps.js, то логин и пароль передадутся на сервер в открытую. Например, админ в офисе просто заблокировал скачивание forcehttps.js на прокси-сервере (офис ходит в инет через него), то он легко может перехватить логин и пароль от аккаунта на яндексе, принадлежащие сотрудникам офиса.

или введите имя

CAPTCHA
Страницы: 1  2  3  
47494
26-11-2008 22:50:52
Вообще, даже страничка, на которой находится форма, в которую пользователь вводит данные, и все сопутствующие файлы должны загружаться уже по https. Иначе пользователь просто не может доверять содержимому страницы.
0 |
02-12-2009 00:02:59
вазелину!!!
0 |
slidd
26-11-2008 23:12:18
Вообще, ситуация "человек между креслом и монитором" уже не гарантирует никакой безопасности. =)
0 |
ы
27-11-2008 09:03:06
Золотые слова ) Например, админ в офисе просто заблокировал скачивание forcehttps.js на прокси-сервереКонечно, яндекс.косяк большой, но в подобных ситуациях остаётся сказать: А если админ просто тупо кейлоггеров понаставил? В реальности, почти не актуальна бага.
0 |
Перат
27-11-2008 09:09:23
А если не админ, а провайдер?
0 |
27-11-2008 16:50:07
шифрование от провайдера не спасает
0 |
Pavel
27-11-2008 17:07:52
Есть ли доступные доки а эту тему, что SSL от провайдера не спасает?
0 |
0per
28-11-2008 21:46:45
тут чуть меньше года назад "дядьки в погонах" очень сильно хвалились, что умеют вскрывать SSL сессии - ящик показывали.
0 |
codewriter850
25-02-2010 00:11:51
Это не баг, это скорее фича!
0 |
фыва
26-11-2008 23:21:24
Пожертвовали безопасностью (немного, но рискованно) ради большей доступности.
0 |
26-11-2008 23:26:15
А нафиг было жертвовать безопасностью? Ради какой доступности? Юзеру ушастому по-барабану сразу страница грузится https, или последующие страницы так грузятся. Он-то ничего делать не должен!!! (а некоторым личностям - ой как не по-барабану...)
0 |
пролджэ
27-11-2008 00:22:10
Если не сработает https у пользователя (не важно почему), доступ будет по http. Это и есть большая доступность. А может ошиблись где?
0 |
Перат
27-11-2008 09:10:16
А сделать отдельную ссылку для (не)защищенной страницы входа нельзя? 32332
0 |
26-11-2008 23:32:42
Я, увы, попал под эту атаку. Потерял деньги, и до сих пор не могу связаться со службой поддержки как положено. Произошло всё просто. Заполнял как обычно форму для перевода средств на картсчёт. Вышло окно с просьбой, указать рублёвый счёт. Так как счёт я указал рублёвый, решил обратиться в службу поддержки. Ответ пришёл достаточно быстро, с просьбой сделать скриншот того окна с сообшением. И я, дилетантская моя душа, делаю скриншот, отсылаю и жду ответа. Минут через пять, жму проверить почту, страница обновляется и требует авторизации. Ввожу логин с паролем - логин заблокирован. Шок! Догадка! Захожу в Gmail.com, оттуда связываюсь со службой поддержки Яндекса, приходит ответ - Ваш логин был заблокирован при попытке удалить почтовый ящик, можете пользоваться логин разблокирован. Пытаюсь войти - упс, никак. Захожу в свой кошелёк - 0,01 руб, из истории платежей узнаю что денежки уплыли через обменник "Robox", на неизвестный мне счёт. Вот такая история. И сейчас пытаясь связаться со службой поддержки Яндекса, броузер сообщает "вы будете переадресованы на другой узел интернета. Продолжить?" Жму-нет, и на этом попытку прекращаю. Только вот сдаётся мне что атака не только на Яндекс, т.к при авторизации в Gmail, броузер иногда выдаёт тоже самое сообщение.
0 |
27-11-2008 00:20:35
Ответ пришёл достаточно быстро, с просьбой сделать скриншот того окна с сообшением. И я, дилетантская моя душа, делаю скриншот, отсылаю и жду ответа.Это ты конечно сильно.... головой-то надо думать, тем более когда с деньгами работаешь. Вообщем, сочувствую. Но есть плюс, в следующий раз, умнее будешь. И сейчас пытаясь связаться со службой поддержки ЯндексаОни тебе уже не помогут.
0 |
59938
27-11-2008 00:22:39
Только вот сдаётся мне что атака не только на Яндекс, т.к при авторизации в Gmail, броузер иногда выдаёт тоже самое сообщение. Ищи трояна, бот.
0 |
ы
27-11-2008 09:07:20
плюспицот. Сдаётся мне, что браузер от МС с троянским АктивХом.
0 |
zyk
27-11-2008 05:00:20
yandex всегда просят сделать скриншот, подробно обясняя как это сделать обычно объяснения всех проблем они рекомендуют пользователь включить cookies подробно обясняя как их включить зачем им при этом всегда нужен скриншот неясно
0 |
фетиш-мастер [Малиновые штаны]
27-11-2008 09:50:50
скриншот нужен техспецам, чтобы просечь на каком этапе у клиента что-то не так
0 |
27-11-2008 08:35:00
обращайтесь в управление "К", пишите заявление. так хоть какой-то шанс будет на возбуждение и расследование дела. может и найдут чего
0 |
фетиш-мастер [Малиновые штаны]
27-11-2008 09:54:28
ниче не будет. максимум - примут заяву. в таких случаях можно только по горячим следам попробовать узнать куда ушли бабки. благо сейчас между нашими и буржуйскими платежными системами обмен не производится. пишем фидбеки, чаты, аськи саппортам обменников. чем больше сумма, тем больше шанс узнать конечный счет. вот когда это будет сделано, можете смело обращаться в отдел К, предварительно попросив платежную систему заблочить этот счет и собрать максимум инфы о его владельце
0 |
28-11-2008 09:57:31
В таких случаях еще можно обратиться к сторонним людям. group-ib.ru, например.
0 |
62429
27-11-2008 00:19:37
новость бред, если атакующий добрался до компа то ничего не мешает установить кейлогер и прочие радости виндузятнегов, админу аналогично, админу боле чем достаточно на тойже почте в plain пасы хранить а юзеры сами вобьют всё
0 |
27-11-2008 08:45:40
вообще-то не бред, и атакующему не обязательно добираться до компа в описанном случае. говоря о паролях от почты, хранящихся в открытом тексте, вы видимо имели ввиду не яндекс, а какую-то другую почту (корпоративную?), в которой не будет авторизационных данных на яндекс ) ситуация: локальная сеть, веб-трафик идёт через прокси, админ прокси-сервера к рабочим станциям отношения не имеет (обычно для домовых сетей). этот админ на прокси фильтрует упомянутый в статье js-файл, слушает проходящий трафик и имеет кучу яндекс-аккаунтов. такое вполне возможно, и пользователи ничего не узнают.
0 |
Страницы: 1  2  3