Wednesday, June 4th, 2008...1:09 am

Bezpieczeństwo CardSpace złamane???

Jump to Comments

W zasadzie miałem w temacie się nie odzywać … inni już napisali o co w tym wszytkim chodzi, ale serwisy w PL takie jak hacking.pl (sztuka nagłówka to jest to: Złamano technologię zabezpieczającą Microsoftu) czy techit.pl problem opisały bez słowa komentarza co do istoty ataku więc postanowiłem podrzucić kilka informacji i linków.

Fakty …

Trzech studentów z Ruhr Universitat Bochum zaprezentowało dokument, w którym opisali potencjalny scenariusz ataku, pozwalającego na przejęcie tokenu generowanego w trakcie uwierzytelnienia z użyciem CardSpace.  W tym celu konieczne jest spenienie kilku warunków po stronie systemu operacyjnego ( o czym za chwilę).

Po spełnieniu tych warunków, atakujący jest w stanie przejąć token wygenerowany w trakcie uwierzytelnienia i użyć go do uzyskania dostępu do zasobów chronionych w ten sposób.

Przedstawiony został więc potencjalny scenariusz ataku. Czy realny … o tym dalej.

 

 

(c) SCX.hu

Nie wiem dlaczego ale w żadnej ze wspomnianych powyżej notek nie znalazłem odnośnika do oryginalnego tekstu opisującego problem autorstwa rzeczonych trzech studentów. Dla zainteresowanych podaję więc jeszcze raz link.

Prasa …

W prasie, czy też w omawiancyh mediach internetowych problem został przedstawiony dosyć jednoznacznie – CardSpace złamane:

Trzech niemieckich specjalistów ds. bezpieczeństwa poinformowało, iż udało im się złamać technologię zabezpieczającą Microsoft CardSpace, która ma zwiększyć bezpieczeństwo danych personalnych surfujących po Internecie.

źródło: hacking.pl

Złamanie to, nie jest jednak tak proste jak to przedstawia komentarz. W Hacking.pl czytamy:

Aby podstęp się udał, należy przekierować ruch internetowy użytkownika na złośliwy serwer www (wystarczy zmodyfikować ustawienia DNS).

Ano właśnie … czy tylko DNS. Wygląda na to, że nie wystarczy tylko zmodyfikować ustawienia DNS (a tak naprawdę wykonać atak typu DNS cache poisoning), należy  jeszcze:

  • Zainstalować odpowiedni certyfikat Root CA lub
  • zignorować ostrzeżenia przeglądarki co do tego, że certyfikat jest nie w porządku, lub
  • wyłączyć mechanizm sprawdzania poprawności certyfikatów w przeglądarce.

Oczywiście bez tego atak ma również szane powodzenia, ale użytkownik będzie musiał:

  • wprost wyrazić zgodne na połączenie ze stroną, która przedstawia się niezaufanym certyfikatem
  • zignorować fakt, że przeglądarka informuje go o tym, że korzysta ze strony przedstawiającej się niezaufanym certyfikatem.

W ten sposób można złamać bezpieczeństwo niejednej aplikacji, zapewne bankowej też.

W dalszej części artykułu czytamy jeszcze:

Microsoft nie zdążył ustosunkować się do opisanego problemu.

Artykuł na hacking.pl datowany jest na 2-go czerwac, a tym czasem:

W dziedzinie CardSpace i tożsamości uwierzcie mi można przyjąć, że jeżeli Kim Cameron przemówił, to Microsoft przemówił :). Wystarczyło więc może trochę poszukać przed napisaniem artykułu, albo zaznajomić się z materią o której się pisze. Cóż … jak już kiedyś pisałem … pisanie o informatyce, trudna rzecz.

 

Podsumowując …

Tak, autorzy tego ataku pokazali, że przy pewnych warunkach, zakładając wykonanie szeregu operacji lub wyłączenie mechanizmów zabezpieczających w przeglądarce są w stanie uzyskać dane związane z uwierzytelnieniem przy użyciu CardSpace. Pytanie jednak … czy jest to faktyczny problem związany z samym mechanizmem CardSpace czy też bardziej problem oddania przez użytkownika pełnej kontroli nad swoim systemem atakującemu, który wtedy może zrobić wiele rzeczy.

Warto tutaj przeczytać komentarz Kima Camerona, który oprócz analizy problemu, przedstawia również analizę potencjalnych problemów, jakie mogą stworzyć rozwiązania zaproponowane jako środki zabezpieczające przez studentów w ich pracy:

However, the students propose equipping browsers with end user certificates so the browsers would be authenticated, rather than the sites they are visiting.  This represents a significant privacy problem in that a single tracking key would be used at all the sites the user visits.  It also doesn’t solve the problem of knowning whether I am at a “good” site or not.  The problem here is that if duped, I might provide an illegitimate site with information which seriously damages me.

Kim zauważa również, że problem można spróbować w przyszłości ograniczyć na podstawie wniosków z pracy studentów z niemiec:

The students propose a mechanism for associating Information Card tokens with a given SSL channel.   This idea would likely harden Information Card systems and is worth evaluating.

 

Moim zdaniem, w tym konkretnym przypadku założenia przyjęte do powodzenia ataku są na tyle wymagające, że stworzenie realnego ataku na stronę chronioną przy pomocy CardSpace z użyciem tej metody jest mało prawdopodobne. Pozytywnym aspektem jest napewno to, że ktoś zajmuje się próbą złamania tej technologii, przez co wychodzą takie właśnie przypadki, które mogą potem wpłynąć na dodatkowe zabezpieczenie rozwiązania.

Miłoby jednak było, gdyby w przyszłości opisujący takie problemy pochylili się na chwilę nad problemem i tym o czym piszą zanim uderzą w wielki dzwon o nazwie BEZPIECZEŃSTWO.

W zasadzie teraz już nie wiem o czym bardziej to wyszło … o technicznych aspektach problemu, czy o podejściu do jego opisania :).  Mam nadzieję że po trochę o obu.

Czas zakończyć …

 

P.S. #1 Swoją drogą hacking.pl w tekście popełnia błąd merytoryczny pisząc:

Co więcej, Microsoft planował zintegrowanie CardSpace z OpenID, otwartym standardem zwiększającym poziom bezpieczeństwa internautów.

Z tego co wiem Microsoft nie planował takiej integracji. Integracja taka jest faktem, który po prostu zaistniał, w conajmniej dwóch aspektach:

  • użycia CardSpace do zabezpieczenia dostępu do witryn OpenID w celu zmniejszenia podatności OpenID na phishing  i przejęcie hasła przez atakującego. W ten sposób korzysta z tej technologii chociażby myopenid.com (kliknięcie w opcję “Sign-in” ujawnia możliwość zalogowania się z użyciem OpenID).
  • Zintegrowanie OpenID i CardSpace w jednym elemencie, czyli OpenID InfoCard tak jak to zaproponował Sxip (RIP) o czym niedawno pisałem.

To że OpenID jest protokołem otwartym i łatwym w użyciu to niewątpliwa zaleta. Jednak przydałoby się tutaj zauważyć, że jest też mocno podatny właśnie na phishing i stąd właśnie pomysły łączenia tej technologii z CardSpace czy innymi rozwiązaniami.

P.S #2 Błąd merytoryczny hacking.pl #2:

Serwis może prosić o kartę osobistą (zawierające tylko część danych) lub firmową (zawierającą dowolne dane).

Karta osobista nie zawiera części danych, tylko w obecnej implementacji selectora Microsoft jej schemat jest zamknięty. Nie oznacza to, że w innej implementacji lub w przyszłości schemat ten nie zostanie rozbudowany.

Druga rzecz … nie ma czegoś takiego jak karta firmowa, jest managed card. A to różnica … dla dociekliwych polecam doczytanie, dla cierpliwych … postaram się niedługo te różnice opisać.

5 Comments

  • Wiesz, takie pisanie to się wpisuje w ogólne tendencje w mediach. Byle z grubej rury, byle sensacja. A fakty? Who cares?

  • No tak – tylko jak o tym w ten sposob pisze serwis hacking.pl czy portal techit.pl – ktore chca byc postrzegane jako specjalistyczne to juz inna sprawa niz pisze o takich rzeczach Onet.

  • Mariusz z całym szacunkiem, kiedyś tak samo jak typ myślałem o portalu Hackng.pl oraz 7thguard.net. Puki na pierwszym portalu w odwecie nie zamieszczono sfałszowanego news’a (zrobili to redaktorzy), a w drugim po 1 miesiącu ciągłego flame na M$ i windows stwierdziłem, że to portal nie dla mnie. Media zawsze będą pisać o M$ bo jest on jedną z najbardziej popularnych firm na świecie. Tak samo jest z windowsem. News o wielkiej dziurze w ssh pojawił się na 3/10 specjalistycznych portali. News o złamaniu cardspace pojawił się na 8/10 portali. Na ssh był gotowy exploit! Mimo to nikt się tym zbytnio nie przejmował.

  • @Tomku. Wymieniłeś portal techit.pl – moim zdaniem słusznie od pewnego czasu zauważyłem stronniczośc jednego z redaktorów co przejawia się w jego artykułach- dyskusjach . Nie będe mówił o kogo chodzi bo na pewno wiesz dobrze o kim mówię. To ,że się tak zachowuje prawie na pewno było spowodowane brakiem renominacji MVP 🙂

  • @pow3r_shell
    Nie no nie popadajmy od razu w paranoje. Wymieniłem TechIT, ponieważ tam przeczytałem tą informację w PL po raz pierwszy, potem masakra pokazał mi ją również na hacking.pl. Z tych dwóch, muszę zresztą przyznać że do infomracji na TechIT miałem mniej zastrzeżeń, które zresztą umieściłem w komentarzach.

    Daleki jestem od stwierdzenia że Tomek jest stronniczy i to z powodów o których piszesz (ponieważ ja wiem co ty wiesz o kim piszesz to co inni nie wiedza a on wie to nie widze powodu żeby pisać anonimami). Tomek przestawia swój punkt widzenia, często trudno odmówić mu racji (chociażby komentarze do Windows Backup, a przynajmniej część z nich), z niektórymi się nie zgadzam albo uważam że należałoby je przedstawić inaczej. Wtedy po prostu z nim dyskutuję … zresztą chyba powinienem przestać bo TechIT po prostu jest chyba kierowany do innego odbiorcy i swoimi komentarzami tam tylko śmiecę :).

    A że z Tomkiem się znamy i mam nadzieję że nie jesteśmy na wojowniczej stopie to traktuję te komentarze i wpisy na blogu, w których odnoszę się do najnowszego “dziecka” jego firmy jako konkstruktywną dyskusję :).

    Ja też pewnie nie piszę super dokładnie, tak to bywa … jednak staram się sprawdzać to co piszę, a jak się pomylę to do tego przyznać. I tego bym oczekiwał od innych … w szczególności zaś oczekiwałbym tego od portali \ gazet aspirujących do tego żeby pisać o konkretnej branży, dla ludzi z branży.

Leave a Reply