Kolejny błąd w zabezpieczeniach Naszej-Klasy

23-02-2009, 10:38

Poszerzanie funkcjonalności serwisów internetowych nie zawsze idzie w parze z dbałością o bezpieczeństwo użytkowników. Udowodnił to Czytelnik Dziennika Internautów, wykrywając na stronach Naszej-Klasy błąd typu XSS. Istnienie luki potwierdziło dwóch ekspertów ds. bezpieczeństwa. Nasza-Klasa zapewnia, że problem został rozwiązany.

W październiku ubiegłego roku jeden z Czytelników Dziennika Internautów odkrył sposób na manipulowanie kontami użytkowników Naszej-Klasy przy użyciu ciasteczek (ang. cookies). Pod koniec zeszłego tygodnia otrzymaliśmy kolejne zgłoszenie dotyczące bezpieczeństwa tego serwisu. Marcin Wyczechowski, student 5 roku Politechniki Łódzkiej na Wydziale EEIA, napisał:

Użytkownicy portalu społecznościowego Nasza-Klasa dostali ostatnio w swoje ręce nową funkcjonalność - możliwość przeszukiwania zasobów internetu dzięki implementacji wyszukiwarki Google. Nasuwa się pytanie, czy Google ma możliwość indeksowania i zbierania danych osobowych z naszych kont. Zgodnie ze stanowiskiem kierownictwa Naszej-Klasy jest to niemożliwe, gdyż mechanizm przeszukiwania został dodany oddzielnie i nie jest połączony z modułem wyszukiwania znajomych. Jednakże nie umniejsza to problemu.

Dzięki nowej funkcjonalności, która powinna być od momentu release'u dla użytkowników całkowicie bezpieczna (chociażby ze względu na to, kim jest partner), serwis Nasza-Klasa "umie" sam sobie tworzyć luki bezpieczeństwa. Nie od dziś wiadomo o różnych sposobach ataku, takich jak XSS (Cross Site Scripting) oraz JavaScript Injection. Nie pierwszy raz pojawiają się informacje o możliwości przechwycenia pliku cookie użytkownika, przejęcia sesji itd.

Zrzut ekranu ukazujący wykrytą podatność na atak XSS
fot. DI - Zrzut ekranu ukazujący wykrytą podatność na atak XSS
W tym konkretnym przypadku jest to o tyle ciężkie, gdyż aby wykonać nasz kod, należy w pewnych sensie dopasować się do wyników wyszukiwań generowanych przez nową funkcjonalność, które w żadnym stopniu nie są kontrolowane przez skrypty serwera Naszej-Klasy. Jest jednak w 100% możliwe - przy odrobinie pracowitości i chęci - wyciągnięcie cookie użytkownika, co skutkuje możliwością kontroli jego konta, a więc dokonywania nieautoryzowanych zmian, jak również wykradnięcia danych osobowych.

Pozostaje jedynie zastanowić się, czy ostatnio bardzo popularny i lubiany przez wiele milionów użytkowników portal potrafi odpowiednio zadbać o naszą prywatność i bezpieczeństwo. Jeśli nawet to nie jest wystarczającym powodem do odpowiednich działań, to współpraca z gigantem informatycznym, jakim jest Google, powinna zobowiązywać do odpowiedniej sumienności w tworzeniu nowych funkcjonalności.

Dziennik Internautów poprosił dwóch niezależnych ekspertów ds. bezpieczeństwa o potwierdzenie istnienia luki. Chcieliśmy się też dowiedzieć, jak fachowcy oceniają jej powagę.

"Znaleziona luka pozwala m.in. na przejęcie sesji użytkownika, którego uda się namówić na kliknięcie w odpowiednio spreparowany link. Ponieważ link będzie odnosił się do skądinąd cieszącego się społecznym zaufaniem serwisu Nasza-Klasa, większość osób nie będzie miało żadnych oporów, aby w niego kliknąć (umożliwiając tym samym atakującemu przejęcie ich sesji)" - powiedział Piotr Konieczny.

"Obawiam się jednak, że na przejęciu sesji może się nie skończyć i wkrótce ktoś wpadnie na pomysł podobny do tego, który przeszło trzy lata temu zaprezentował Samy Kamar na portalu MySpace" - dodał współpracujący z DI specjalista. Warto przypomnieć, że Kamar za pomocą XSS zaprogramował robaka. Użytkownicy, zwabieni na zainfekowaną stronę, automatycznie (i nieświadomie) przesyłali wszystkim swoim znajomym wiadomość z linkiem do tej strony. Robak niepostrzeżenie dodawał profil twórcy wirusa do znajomych. Po kilku godzinach miało go w kontaktach blisko milion użytkowników portalu.

"W przypadku Naszej Klasy, z racji jej popularności i zasięgu, sytuację należy ocenić jako poważną" - stwierdził Konieczny. Tak samo uważa Mariusz Dalewski z MD Software: "Błędy typu XSS należą to dosyć istotnych błędów w przypadku serwisów z dużą ilością użytkowników". Można dzięki nim nie tylko przejąć dowolne konto i wprowadzić w nim zmiany, ale przede wszystkim wykraść ogromną ilość danych osobowych. Podobnych błędów, niestety, nie ustrzegły się największe firmy, takie jak Onet, Orange czy Allegro - przypomniał Dalewski.

Jak się zabezpieczyć?

"O zabezpieczeniu od strony użytkownika przed atakami XSS ciężko mówić - aby być 100% bezpiecznym należałoby bowiem wyłączyć obsługę JavaScriptu - i to nie tylko w obrębie serwisu Nasza-Klasa, ale każdej strony WWW! To jednak znacząco obniżyłoby funkcjonalność niektórych serwisów" - powiedział Piotr Konieczny, zalecając korzystanie z rozszerzenia NoScript dla przeglądarki Firefox do czasu, aż programiści Naszej-Klasy uporają się z błędem.

Jak podaje Mariusz Dalewski, istnieje kilka sposobów radzenia sobie z niektórymi skutkami błędów XSS. Należą do nich:

  • weryfikacja numeru sesji z numerem IP - zabezpieczenie to nie pozwala na użycie uzyskanych danych z innego numeru IP,
  • ponowne uwierzytelnianie przy wejściu do profilu (takie rozwiązanie stosuje np. Allegro).

Dziennik Internautów poinformował Naszą-Klasę o wykrytej luce, pytając o stanowisko serwisu w tej sprawie. Chcieliśmy się m.in. dowiedzieć, kiedy opisany wyżej błąd zostanie naprawiony. Joanna Gajewska, rzecznik prasowy Naszej-Klasy, napisała dziś rano:

przede wszystkim chciałam podziękować za informację – korekta została wprowadzona jeszcze w sobotę. Usterka nie była trywialna, ale też nie dawała możliwości dostępu do danych dowolnego użytkownika (wymagała, aby użytkownik był zalogowany na NK i wszedł na stronę próbującego ataku). Proszę także przekazać nasze podziękowanie osobie, która Państwu przekazała swoje spostrzeżenia.


Źródło: DI24.pl
Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy