Slo-Tech - Slashdot je objavil novico, da so odkrili novo varnostno luknjo v vseh brskalnikih. Samozavestno sem sledil povezavi v prepričanju, da se me kot uporabnika Mozille na Linuxu novica pravzaprav ne tiče. Ko se je izkazalo, da Mozilla 1.7.3 testa ni prestala, me je radovednost gnala naprej. Test sem izvedel še z naslednjimi brskalniki: 1. Firefox 1.0 za Linux - 2. Opera 7.54 za Linux - 3. Netscape 7.2 za Okna, nameščen s CrossOver v Linuxu - 4. IE 6, nameščen s CrossOver v Linuxu - 5. Firefox 1.0 za Okna, nameščen v Windows 98, ki tečejo na VmWare v Linuxu - 6. Konqueror. Od vseh naštetih je test uspešno prestal samo Konqueror.
Slashdot komentar: > Rumor has it, patches to support this exploit in Lynx will be available by the end of the week. ;)
Drugace pa res. Samo prida me ne prizadane, ker imam blokirane pop-up-e in jih sovrazim do te mere, da jih resnicno zelo redko dovolim. Firefox je ranljiv, jaz kot njegov uporabnik pa ne. :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Hm, ja in .... mam Avant browserin ko mi odpre pop-up vidim tud url - in vidim, da ni od citibank. Drgac pa ubistvu sploh ne stekam kva je tle ksn "Vulnerability" - ti bi tko al tko mogu postavt na svoji strani link do doticne strani, da bi lahko napisu un javascript .... mislm, ne stekam fore. Ce mi lahko kdo mal razlozi, ce jst to narobe stekam.
Se vedno dela. Firefox 1.0, Gentoo. Ne vem zakaj nekaterim ne dela, enostavno kliknes prvi link ce imas pop up blocker, Firefox ti rece da je preprecil pop-up-u da bi se odprl, kliknes tja in dovolis enemu da se prikaze. In vidis da ni od banke.
>Drgac pa ubistvu sploh ne stekam kva je tle ksn "Vulnerability"
Ko dobis pop up ki ni od banke notri pise:
The pop-up window you requested to open via the CitiBank web site is now controlled by Secunia.com.
This page could easily have contained malicious information spoofed as being from CitiBank, asking you to install programs or disclose sensitive information such as credit card details.
This is only limited by the imagination of the attacker (phisher).
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Tega pa skoraj ne verjamem. Ziher si ti kje falil, ker je verjetnost neverjetno majhna, da bi bila najvecja jetra od browserja edina, ki bi prestala test.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Microsoft:Najina komentarja sta se pravkar malo križala. Explorer ti odpre pravo stran? Čudno. Poskusil sem na hčerkinem računalniku, pa testa ni prestal. (Okna XP, SP2, samodejno posodabljanje)
Glede na nekatere komentarje sklepam, da vsi niso povsem razumeli, zakaj gre. Povezavo iz bankine strani, ki vsekakor vzbuja zaupanje, v resnici prestreže stran z "zlobno kodo" in se predstavi kot stran, ki si jo hotel odpreti. V prikazanem primeru ti stran, ki se odpre namesto bančne, pojasni, da si zaveden. Če bi šlo pa zares, bi stran izgledala natako tako, kot bančna. Vtipkal bi svoje geslo in številko računa in potem.....
Pa še to - vse brskalnike sem preizkušal samo s prepovedanimi neželjenimi okni!
This should normally open a pop-up window with information from CitiBank about fraudulent emails. Men pokaze pop-up, kjer govori o mejlih in nevarnostih linkov v teh mejlih...
You are vulnerable, if a pop-up window opened and showed text from Secunia and not from CitiBank. Pr men ne duha ne sluha o Secunia.
OK, grem jst z neznanjem anglescine tole prevajat.
Step 1 This demonstration will open the CitiBank web site in a new window.
When viewing the CitiBank web site, click on the image, which looks like the one below. This should normally open a pop-up window with information from CitiBank about fraudulent emails.
Torej. Prvi korak je ta, da se ti more najperj naslikat stran citibank.com. Tu ni nikakersnega govora o kakem pop-up. Bitsvo je, da gres na citibank.com. Ko si tam, gres po navodilih naprej. Ko pa si tam, kilknes na sliko (sm dal link do slike mal visi). In to ti more odpret pop-up okno, ce sploh hoces stestirat stvar. Ker ce ti ne, potem s tem nisi naredu testa. Okno se ti more odpret. Point je, kakso okno se ti odpre.
Step 2 Starting the test is done by clicking the relevant link below. Use the first link if you have a pop-up blocker enabled, or the second link if you do not have a pop-up blocker enabled.
To ti da dva linka, ki te oba prpeleta do citibank.com. Sploh ni point v tem.
Step 3 You are vulnerable, if a pop-up window opened and showed text from Secunia and not from CitiBank
To je zdej tisto, kam te vrze. Ce te na citibank, pol je kul. Ce te ne, pol ni kul.
In link oz. slika, na ketero jst razumem, da je treba kilnat, je obkrozena kle: klik
Če do citibank NE dostopaš z levimklikom na linke na secunia.com (torej tako da se ti citibank stran odpre v novem oknu) potem exploit NE dela.
Če link kopiraš in ga prilepiš v novo okno brskalnika (ki si ga sam ročno pognal iz menija/konzole/desktopa/kakorkoli) pol exploit NE dela. Exploit dela edino v primeru da dobesedno slediš navodilom na strani.
Aja... tako je vsaj s Firefox 1.0 na Linuxu... Domnevam pa da na windows ni razlike.
Skrolajte tja do navodil za test... Z klikom na levi gumb miske (ali pa desni, ce imate left handed mouse) odprite povezavo do citybanka. Izberite ustrezno povezavo glede na to ali imate popup blocker ali ne. (Ce boste uporabili napacen link, bo treba se enkrat reloaded test page od secunie)
2. Odprlo se vam bo link od citibanka.
3. Kliknite na slicico Consumer Alert / beware of...
4. V popupu se vam pokaze hijacked stran od secunie.
PS: Ce je vas browser kakorkoli drugace nastavljen, se vam novi linki odpirajo v novih tabih ali pa se vam popupi odpirajo v novih tabih, potem bo browser test prezivel. Default IE, opera, mozilla, firefox pa vsi po vrsti crknejo.
exploit je tudi pri meni (logično) uspešen tako na Firefoxu kot na IE. moraš pa tudi v IE z SP2 klikniti na link za popup blocker (če seveda ni izklopljen), sicer zadeva ne dela
imam maxthona če v njem vklopim popup stoper (in kliknem na ustrezni link), je ok če pa izklopim in grem na stran za brez popup stoperja pa pridem do onega vurneability pejdza.
hm sam se zmer ne stekam - ti mors met en sajt, na kerem das link do citybank - al kr tko po cudezu, ce kliknem na strani od citbank (naprimer) na "Login" (zmislu sm si) mi krena stran po čudežu hajđeka popup in da not svojo vsebino? Mislm krneki, to ni nobena ranljivost. krneki.
Ce poznas ime nekega popupa, ki se bo odprl, potem ga lahko hijackas. Vsakdo, ki se bo iz tvojega site-a odpravil na target site, bo ranljiv in mu bos lahko prestrezal popupe...
Če link kopiraš in ga prilepiš v novo okno brskalnika (ki si ga sam ročno pognal iz menija/konzole/desktopa/kakorkoli) pol exploit NE dela. Exploit dela edino v primeru da dobesedno slediš navodilom na strani.
Torej dragi Microsoft... bullzeye! You got it right.
Ugotovili smo torej, da varnostna luknja obstaja in da je ranljivih večina brskalnikov. Ali lahko kdo od računalniških znalcev pojasni, ali je takšno luknjo dejansko mogoče uporabiti za čisto konkretne lopovščine, ali je to zgolj teoretična možnost? Je mogoče, da bi na primer uporabnik Klika v dobri veri, da je odprl stran NLB, odprl njeno kopijo, lastnik strani pa bi podatke uporabil za krajo z njegovega računa? Ali da bi pri plačilu s kreditno kartico enostavno ukradel številko in kodo?
Kot smo že ugotovili je to povsem mogoče, vendar le če do Klika (recimo) dostopaš prek neke tretje strani (recimo s slo-tech.com). Verjetnost je sicer majhna, vendar se povprečni uporabnik ponavadi obnaša kot ovčka in klika vse mogoče linke... tako da . Spoofing nardi ogromno škode že v svoji najprimitivnejši obliki - email. To kar imamo tukaj je pa že kar rafinirana varianta...
Je pa res da sem jaz to le s firefox-om probal... ker pač sam zarad tega testiranja ne bi rad instaliral vseh sort brskalnikov.
BTW Microsoft, če tvoj brskalnik ni ranljiv pol se pač ne sekirat... ne pa zamerit če ti 99% folka k bere te komentarje ne verjame... Kot sem že rekel, super zate če je vse v redu.
P.S. Kolkr jest vem to niti ni browserjeva krivda ampak javaskript. Grem probat brez javaskript enabled...
Glede Jave mam jst enejblano: Active scripting, Allow paste operations via script in Scripting of Java applets. Pac, stran dam v Trusted sites. Ce jo ne dam, pol sploh ne odpre okna.
Zdej, ce mi ne verjamete, je resitev, da to posnamem. Nimam kamere, mogoce si pa omislim program in 'posnamem' dogajanje na monitorju...
pade na testu! Bom jutri poiskusal se na 3.3.1. 
. Spoofing nardi ogromno škode že v svoji najprimitivnejši obliki - email. To kar imamo tukaj je pa že kar rafinirana varianta...
