ads slot

Latest Posts:

Срочно нужен инженер схемотехник! Опыт проектирования схем в Altium Designer; ТК; Подробнее здесь

Хакеры, welcome-восстановление пароля

Хакеры, welcome-восстановление пароля:

Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно.
Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.
Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.
Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.
Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».

Назад в будущее. «Вконтакте», Google, Mail.Ru

Нам удалось получить доступ к аккаунтам всех этих сервисов.
В случае с «Вконтакте» и Google выяснилось, что, обладая определенной информацией о пользователе (контакты, фотография, секретный вопрос), можно без труда получить доступ к его аккаунту.
Вконтакте
«Вконтакте» уделяют достаточно большое внимание обеспечению безопасности пользователей и придумали свой метод восстановления пароля. Вам даже предложат сфотографироваться на фоне страницы процедуры восстановления пароля с предварительной загрузкой скана документа, удостоверяющего личность. Все бы ничего, но «Вконтакте» используют самое слабое звено для проверки – человека. За что и поплатились – в результате ряда манипуляций с формой восстановления пароля и контактными данными и переписки со службой поддержки доступ к странице пользователя был получен менее чем за сутки.
Google
Google – примерно та же ситуация. Пароль восстановили довольно легко. Причем после получения доступа к аккаунту Gmail.com в нашем распоряжении оказываются все сервисы, с которыми работает пользователь – от Youtube до Picasa. Например, процедура восстановления пароля была запущена в тот момент, когда владелец учетной записи продолжал работать с сервисами Google: общался через GoogleTalk, загружал файлы с Android Market. Сервисы перестали работать внезапно, без каких-либо предупреждений со стороны Google. Причем подобную атаку не смогла остановить даже двухфакторная авторизация с привязкой к мобильному телефону.
Mail.Ru
С Mail.Ru ситуация сложнее. Этот сервис также доброжелательно относится к своим пользователям и идет навстречу им во многих вопросах. С одной стороны, это не может не радовать, с другой – предоставляет отличные возможности хакерам. Здесь общедоступной информации оказалось недостаточно. Тем не менее, после виртуального общения непосредственно с жертвой, которая любезно предоставила нам все нужные данные, доступ к аккаунту был получен без особых проблем.

Вперед в будущее. Facebook

Facebook
Социальная сеть Facebook продемонстрировала наиболее взвешенный подход, который сочетает заботу об удобстве и безопасности пользователя. Схема защиты не совсем стандартная – привязка к e-mail, привязка к телефону и возможность пользоваться друзьями для восстановления доступа к странице. Причем друзьями должны быть люди, которых вы знаете не 1 и не 2 дня – мы не смогли попасть в список доверенных лиц пользователя даже за две недели активности. В том же случае, если у вас больше нет доступа к почте и секретному вопросу, Facebook сообщает, что ничего поделать не может. И советует зарегистрироваться заново.
image
Отдельно хотелось бы выделить Яндекс. Это замечательный пример того, как не стоит закручивать гайки. Нам не удалось получить доступ к аккаунту пользователя из-за слишком суровых требований к процедуре восстановления пароля. Например, увели у вас почтовый ящик с Яндекс.Деньгами. Телефон вы не привязали. Секретный пароль не вспомнили. Служба поддержки требует паспорт. Все пропало. И Яндекс.Деньги, и Яндекс.Почта.

Итак, какие можно сделать выводы:

  • функция восстановления пароля – слабое место в системе защиты пользователя массовых онлайн-сервисов;
  • на первый план для интернет-ресурсов выходит необходимость соблюсти баланс между удобством сервиса для пользователей и его безопасностью;
  • пользователи довольно легкомысленно относятся к правилам безопасности и собственным данным, тем самым поневоле оказывая помощь злоумышленникам.
Таким образом:
ВКонтактеПолучен доступДоступ к данным получить несложно, лояльная служба технической поддержки
GoogleПолучен доступДоступ к данным получить несложно, лояльная служба технической поддержки
Mail.RuПолучен доступДоступ к данным получить можно, но только после общения с пользователем
FacebookДоступ не полученДоступ к данным получить нельзя, Facebook – молодцы!
ЯндексДоступ не полученДоступ к данным получить нельзя, но очень жесткие требования к процедуре восстановления пароля
Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Мы проинформировали владельцев этих учетных записей о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми мы работали, также получили уведомления о найденных уязвимостях и предприняли меры по устранению обнаруженных недочетов.
На этом наши исследования не заканчиваются – Positive Technologies продолжает анализировать безопасность социальных сетей и других популярных интернет-сервисов. Результаты новых исследований мы представим на международном форуме по практической безопасности Positive Hack Days, который пройдет 30-31 мая 2012 года в Москве.

Share on Google Plus

Автор Мaкс Маб

Я простой житель планеты земля.

Комментарии

comments powered by HyperComments

Алексей Навальный

Мухамеду Али было 74 года

ali from Mab on Vimeo . Он говорил, что хотел бы дожить до ста лет. Мохаммед Али – один из самых известных боксеров в истории мировог...

Получайте обновления на Email

Проблемы на работе?