- Назад у майбутнє. «Вконтакте», Google, Mail.Ru
- Вперед в майбутнє. Facebook
- Отже, які можна зробити висновки:
Кожен з нас хоча б раз у житті стикався з ситуацією, коли пароль від пошти забутий, а подивитися листи потрібно.
Кожен з нас хоча б раз у житті стикався з ситуацією, коли пароль від пошти забутий, а подивитися листи потрібно. Тут нам на допомогу приходить процедура відновлення пароля, яку дбайливі сервіси розробили спеціально для подібних випадків. Саме ця процедура викликає найбільше запитань з точки зору безпеки . Як з'ясувалося, не дарма.
Наш дослідний центр Positive Research подивився, наскільки легко можна дістати несанкціонований доступ до акаунтів користувачів «ВКонтакте», Facebook, Google, Mail.Ru і Яндекс. Причому не шляхом технічних атак, а тільки за допомогою соціальної інженерії.
вікіпедія описує соціальну інженерію як метод управління людьми без використання технічних засобів. У нашому випадку це спосіб отримання несанкціонованого доступу до особистої інформації людини, знову ж таки, без використання будь-яких спеціальних знань або інструментів.
Безумовно, завжди можна відправити фішингових лист і змусити користувача перейти на сайт, де він засвітить свої логін і пароль, або підкинути трояна і чекати. Способів існує багато. Але нам було цікаво інше. Ми хотіли перевірити, наскільки реально отримати доступ до аккаунту користувача, використовуючи тільки загальнодоступну інформацію, яку можна знайти в інтернеті. Без взаємодії з користувачем. Без технічних витребеньок. Без вразливостей «нульового дня».
Назад у майбутнє. «Вконтакте», Google, Mail.Ru
Нам вдалося отримати доступ до акаунтів всіх цих сервісів.
У випадку з «Вконтакте» і Google з'ясувалося, що, володіючи певною інформацією про користувача (контакти, фотографія, секретне питання), можна без зусиль отримати доступ до його облікового запису.
«Вконтакте» приділяють значну увагу забезпеченню безпеки користувачів і придумали свій метод відновлення пароля. Вам навіть запропонують сфотографуватися на тлі сторінки процедури відновлення пароля з попередньою завантаженням скана документа, що посвідчує особу. Все б нічого, але «Вконтакте» використовують найслабша ланка для перевірки - людини. За що і поплатилися - в результаті ряду маніпуляцій з формою відновлення пароля і контактними даними і листування зі службою підтримки доступ до сторінки користувача був отриманий менш ніж за добу.
Google - приблизно та ж ситуація. Пароль відновили досить легко. Причому після отримання доступу до аккаунту Gmail.com в нашому розпорядженні виявляються всі сервіси, з якими працює користувач - від Youtube до Picasa. Наприклад, процедура відновлення пароля була запущена в той момент, коли власник облікового запису продовжував працювати з сервісами Google: спілкувався через GoogleTalk, завантажував файли з Android Market. Сервіси перестали працювати раптово, без будь-яких попереджень з боку Google. Причому подібну атаку не змогла зупинити навіть двухфакторная авторизація з прив'язкою до мобільного телефону.
З Mail.Ru ситуація складніша. Цей сервіс також доброзичливо ставиться до своїх користувачів і йде назустріч їм у багатьох питаннях. З одного боку, це не може не радувати, з іншого - надає відмінні можливості хакерам. Тут загальнодоступної інформації виявилося недостатньо. Проте, після віртуального спілкування безпосередньо з жертвою, яка люб'язно надала нам всі потрібні дані, доступ до аккаунту було отримано без особливих проблем.
Вперед в майбутнє. Facebook
Соціальна мережа Facebook продемонструвала найбільш зважений підхід, який поєднує турботу про зручність і безпеку користувача. Схема захисту не зовсім стандартна - прив'язка до e-mail, прив'язка до телефону і можливість користуватися друзями для відновлення доступу до сторінки. Причому друзями повинні бути люди, яких ви знаєте не з 1 і не 2 дні - ми не змогли потрапити в список довірених осіб користувача навіть за два тижні активності. У тому ж випадку, якщо у вас більше немає доступу до пошти і секретному питанню, Facebook повідомляє, що нічого вдіяти не може. І радить зареєструватися заново.
Окремо хотілося б виділити Яндекс. Це чудовий приклад того, як не варто закручувати гайки. Нам не вдалося отримати доступ до аккаунту користувача через занадто суворих вимог до процедури відновлення пароля. Наприклад, повели у вас поштовий ящик з Яндекс.Деньгами. Телефон ви не прив'язали. Секретний пароль не згадали. Служба підтримки вимагає паспорт. Все зникло. І Яндекс.Деньги, і Яндекс.Почта.
Отже, які можна зробити висновки:
- функція відновлення пароля - слабке місце в системі захисту користувача масових онлайн-сервісів;
- на перший план для інтернет-ресурсів виходить необхідність дотримати баланс між зручністю сервісу для користувачів і його безпекою;
- користувачі досить легковажно ставляться до правил безпеки і власними даними, тим самим мимоволі надаючи допомогу зловмисникам.
Таким чином:
ВКонтакте
Отримано доступ Доступ до даних отримати нескладно, лояльна служба технічної підтримки Google Отримано доступ Доступ до даних отримати нескладно, лояльна служба технічної підтримки Mail.Ru Отримано доступ Доступ до даних отримати можна, але тільки після спілкування з користувачем Facebook Доступ ми отримали Доступ до даних отримати не можна, Facebook - молодці! Яндекс Доступ ми отримали Доступ до даних отримати не можна, але дуже жорсткі вимоги до процедури відновлення пароля
Дії по відновленню паролів стосувалися реальних акаунтів користувачів «ВКонтакте», Facebook, Google, Mail.Ru і Яндекса. Ми поінформували власників цих облікових записів про цілі дослідження і отримали від них згоду на вчинення дій з їх акаунтами. Після завершення проекту реквізити доступу були повернуті власникам, ніяких додаткових дій з використанням цих даних не здійснювалося. Всі інтернет-ресурси, з якими ми працювали, також отримали повідомлення про знайдені вразливості і вжили заходів щодо усунення виявлених недоліків.
На цьому наші дослідження не закінчуються - Positive Technologies продовжує аналізувати безпеку соціальних мереж та інших популярних інтернет-сервісів. Результати нових досліджень ми представимо на міжнародному форумі з практичної безпеки Positive Hack Days , Який пройде 30-31 травня 2012 року в Москві.
Новини - в нашому блозі!
