Spokojnie, nikomu nie zamierzam zrobić krzywdy. Ten tekst ma dwa cele:
1. Wartość edukacjną, uświadamiającą że mechanizmy służące zabezpieczaniu mogą posłużyć do przeprowadzenia ataku.
2. Uświadomić ekspertom od zabezpieczeń, żeby pomyśleli co mogą zmienić aby któregoś dnia nie obudzić się z ręką w nocniku.
Z oczywistych względów nie podam konkretnie jakie strony www są podatne na przedstawiony tu typ ataku, ale domyślić się chyba nietrudno.
O co się rozchodzi?
Idea jest prosta. Mamy stronę, która umożliwia autoryzację użytkownika przy pomocy automatycznie generowanego loginu, składającego się zazwyczaj z cyfr, oraz hasła. Kilkukrotna próba logowania się na dany login powoduje zazwyczaj zadziałanie zabezpieczenia określanego mianem Account Lockout Policy, które definiuje po ilu nieudanych próbach wpisania hasła konto jest blokowane. Ma to domyślnie zapobiec atakom typu Brute Force, czyli próbom włamania zgadując hasła (najczęściej jest to metoda określana jako słownikowa, ze względu na stosowanie słownika popularnie używanych haseł). Mechanizm ten w przypadku pewnych serwisów internetowych może posłuzyć do całkowitego lub częściowego odcięcia użytkowników od usług. Wystarczy inkremenując kolejne loginy logować się kilka razy do interfejsu losowymi hasłami i blokować konta. I do tego potrzeba jedynie wysłać requesta http. Nie jest to więc typowy atak typu Denial of Service (odmowa usługi), jednak skutecznie może zablokować operacyjne działanie serwisu i sfrustrować jego użytkowników. Jakie straty generuje to w przypadku działalności komercyjnej wyliczyć nietrudno. W tym przypadku konkurencja lubi zacierać ręce, zresztą jak się nietrudno domyśleć będzie to główny zleceniodawca tego typ ataków.
Kto jest podatny?
Są to serwisy www, w których cechą charakterystyczną jest to, iż użytkownicy logują się za pomocą generowanych identyfikatorów, składających się z cyfr, lub też tym podobnych (np. inkrementowany ciąg cyfr poprzedzony prefiksem znakowym). W zasadzie wszędzie tam, gdzie login jest znany lub łatwo się go domyślić. Druga ważna rzecz, to działający mechanizm Account Lockout Policy. Takie GG na przykład pozwala na kilkanaście nieudanych prób (o ile nie do skutku – nie próbowałem sprawdzić). Fajnie, lecz skutkuje to często udanymi atakami typu Brute Force i przejęciami kont.
Co robić kiedy mam taki serwis?
Jeśli jesteś klientem – możesz łudzić się, że Ciebie to nie dotyczy i z tego typu atakiem sie nie spotkasz. W chwili obecnej masz rację – tego typu ataki nie są popularne. Możesz też zmienić dostawcę usługi na takiego, który nie ma z tym problemów. Możesz też zapytać się obecnego dostawcy „co by było gdyby”, zwłaszcza jaki przewidział plan awaryjny w przypadku gdy taki atak się wydarzy (a może się wydarzyć nie raz i nie dwa). Jeśli sam jesteś dostawcą – pomyśl co możesz zrobić zanim klienci przyjdą do Ciebie z takim pytaniem, lub – gorsza – kiedy Twój biznes padnie jego ofiarą.
