19 418
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/A698/index.jpg

Az Index és a hacker

2015.03.03. 09.35
Néhány héttel ezelőtt a hackerek webes támadási módszereiről tartottam kétnapos előadást egy budapesti hivatalnak, ahol a jelenlévők a gyakorlatban is megismerkedhettek a gyakori hibákkal, azok kihasználásával és kiküszöbölésével. Igyekeztem olyan előadást összeállítani, amit a későbbiekben is felhasználhatok, szóval az intézményre vonatkozó példák mellett igyekeztem populárisabb célpontokat is prezentálni.

Túlságosan nem is kellett sokáig keresgélnem, hiszen az egyik támadási módszernél eszembe jutott, hogy Magyarország egyik legnépszerűbb weboldalán is találkoztam példával, bár akkor nem vizsgáltam meg tüzetesebben a problémát, ami igazából nem is sérülékenység, hanem egy eszköz a rosszindulatú támadók kezében.

Figyelem! A cikk közérdekű információkat tartalmaz. Kérjük, oszd meg ismerőseiddel is!

A módszer röviden a következő: A támadás ezen fajtája a megtévesztésre épül. Az áldozatnak egy olyan webcímet küldünk, ami első ránézésre ismerős, így bízva a biztonságosnak vélt linkben, rá is kattint. Csakhogy a webcím nem arra az oldalra irányítja a böngészőt, ahová az áldozat várná vagy hiszi, hanem egy általunk összeállított lapra, ahol a legkülönfélébb eszközöket sorakoztathatjuk fel szegény célpont ellen.

A hangsúly tehát azon a webcímen van, amit elküldünk az áldozatnak. Ez viszont egyáltalán nem egyszerű feladat, hiszen hogyan készítsünk olyan URL-t, aminek a domain része teljesen megegyezik valamelyik népszerű oldaléval, de mégis a mi oldalunkra irányít és még nem is értelmetlenül hosszú?

Ezen terület részletezésénél jutott eszembe az Index.hu oldalain használt linkelési módszer, ami lényegében tálcán kínálja az előbbiekben bemutatott eltérítéses támadás kivitelezésének lehetőségét.




Az Index oldalain az alábbihoz hasonló linkek vannak voltak elhelyezve, viszont a cikk írásának pillanatában az alábbi link az Androbit kezdőlapját nyitja meg:

http://index.hu/x.php?url=http%3A%2F%2Ftinyurl.com%2Fnwro93x

Innen is látszik, hogy nem minden arany, ami fénylik. Hiába kezdődik a webcím az index.hu domainnel, végeredményben mégis az Androbit kezdőlapján kötünk ki, ami helyett persze bármilyen más, rossz szándékú weboldal is szerepelhetne. Ismeretlen emberektől származó linkeket tehát ne nagyon nyissunk meg!




A fenti példa lényege az, hogy az index.hu után látható x.php az url paraméterben megkapott kódolt URL-re irányítja a böngészőt. Az igényesség kedvéért az Androbit webcímét egy URL-rövidítő szolgáltatás mögé rejtettem, hogy semmi se utaljon az eltérítésre.

A koncepció ilyen tevékenységek elvégzésére való felhasználhatóságát először 2015. január 22-én délután jelentettem az Index felé. Nem kaptam választ a levelemre, viszont néhány nappal később az oldalon található linkek URL-jeinek domain része lecserélődött index.hu-ról dex.hu-ra, csökkentve a csalásra alkalmas webcímek hatékonyságát. Lehet, hogy véletlen, de igazából mindegy is.



Egy héttel később, január 29-én ismét írtam az illetékeseknek, miszerint ha nem nagy probléma, a közeljövőben bemutatnám a példát az Androbiten is, hogy egyaránt tanulságul szolgáljon a webfejlesztők és az internetezők számára. Ekkor már választ is kaptam, miszerint az előző levelemet nem kapták meg, írjam le ismét a részleteket. A részleteket ismét elküldtem, a helyzet azóta változatlan.


Mi a megoldás?



Az Index már említett dex.hu-s megoldása ásóbot egyszerűségű és túlságosan trendire sikerült. A dex.hu webcím ugyanis ránézésre ugyanúgy kattintásra ösztönöz, nem is sejtve, hogy az url paraméterben egy támadó alkotása várja, hogy megadják neki a banki adatokat, a jelszavakat és a többi privát információt.

Hasonlóan egyszerű, de sokkal hatékonyabb módszer lett volna a probléma orvoslására az index.hu/x.php eltávolítása és valami gusztustalanul bonyolult domain megvásárlása, ami már tényleg gyanús. Megjegyzendő, hogy ezeket az URL-eket csak a weboldalon elhelyezett linkekben használják, a cikkek URL-jei nem ilyen formájúak, így lényegében bármilyen domaint használhatnának erre a célra.

A másik, kicsit bonyolultabb módszer a szerkesztői felület egy olyan irányú továbbfejlesztése lenne, ami mentéskor összegyűjti a cikkben elhelyezett webcímeket és hozzáadja egy adatbázishoz. Az x.php pedig csak azokra a webcímekre lenne hajlandó átirányítani, ami már szerepel ebben az adatbázisban, tehát a szerzők részéről megbízható(bb)nak minősül.

Zacskós bárányon akadt ki az internet
Így fog kinézni az iPhone X
Az Alien: Covenant bevezetőjétől dobtunk egy hátast
FaceApp – Az egész internet ezzel szórakozik
Végtelen pénz: Egymilliárd iPhone‑t adott el eddig az Apple
Mozilla Firefox 53
Felkapott témák
Így fog kinézni az iPhone X
Százmilliókat keresett egy tizenéves hacker
Xiaomi Mi MIX 2 – Itt a jövő okostelefonja
Több ezren váltanának GNOME helyett KDE-re az Ubuntuban
300 dollárba kerül egy Samsung Galaxy S8 legyártása
FaceApp – Az egész internet ezzel szórakozik
Állásajánlatok
Minőségbiztosítási munkatárs
Alállomási tervező villamos
Gépészmérnök - Gépgyártás technológus
C# senior fejlesztő
CRM menedzser számsorsjáték
Java developer Tool development
Test Automation Specialist