Ano, pokud mám přístup na PC uživatele a mohu ukrást session, tak mohu ukrást přihlašovací údaje přímo do DS. Stačí k tomu jediné. Až si bude uživatel měnit heslo, tak se prostě to heslo pošle místo session. Mírně modifikovaný útok a stále k tomu není potřebný přístup do interní sítě.
Navíc téměř 20% útoků je vedeno z vnitřní sítě. V takových případech je tudíž splněna podmínka "mít přístup _za_ Kernun".
Co se kompilace týče, tak jsem to původně pochopil jako službu běžící na serverech TNS, což bylo špatné chápání. Na jednu stranu to sice zvyšuje bezpečnost, ale na stranu druhou je to další zařízení, o které je třeba se starat, patchovat, monitorovat, atd. Což v případě uživatelů, kteří se nedokáží chovat bezpečně ani v případě vlastního počítače asi nebude zrovna priorita číslo jedna.
Pane FOKu, vy jste vtipný! Můžete mi prosím objasnit, jak byste si představoval, že získáte session mezi Kernunem a DS? A pokud získáte session z PC-čka, které se k DS připojuje přes Kernun, tak ano, můžete jej použít, ale musíte mít přístup _za_ Kernun, tedy typicky do interní sítě. A to je jiné kafe, že?
Co se patche týká, tak to je přece snadné - vždyť si to z těch zdrojáků můžete samozřejmě přeložit,vy filuto jeden!
A proč by se někdo měl pokoušet s ukradenou session připojovat na jiný server? Pokud získám session mezi uživatelem a KERNUM, tak se připojuji na KERNUM a ten mi zprostředkuje připojení k DS. Pokud získám session mezi KERNUM a DS, tak se připojuji k DS. Vidíte ten rodíl? Jsou tu dvě různé session pro jedno spojení, z nichž mi stačí získat pouze jednu k plnému přístupu. Vůbec není třeba mít druhou půlku jak praví reklamní materiály.
Kontrola IP je hezká věc, ale jaksi zapomínánte na jednu věc. Podvrhnutí IP adresy je celkem snadné. Zejména v prostředí, kde se zažilo, že NAT je bezpečnostní prvek. Ne NAT není bezpečnostní prvek! Tento příklad je toho jasným důkazem. Pokud jsem za NATem, nebo za PROXY, tak při přístupu k dané službě mám stejnou veřejnou IP adresu.
A jste si opravdu jistý, že to co provozují je kompilováno z poskytnutých zdrojových kódů? Jste si jistý, že neexistuje patch určený výhradně pro kompilaci služby KERNUM?
Kontrolu IP beru. Ale pokud je útočník za stejnou IP jako obět (např. ve stejné firmě), tak nefunguje.
Ale když má útočník relaci mezi uživatelem a Kernun (tedy zná cookies této relace, kterou uživatel právě ukončil bez odhlášení), tak má automaticky i tu druhou relaci mezi Kernun a DS, protože mu ji Kernun zprostředkuje, stejně jako ji zprostředkovával uživateli.
Jednak se nelze přihlásit jinak než z počítače uživatele (kontrola IP adresy), za druhé - opět by měl pouze jednu část relace, která by mu byla bez druhé části k ničemu.
Relaci (session) ukrást při použití Kernun Bezpečná schránka nelze.V článku Jiřího Peterky je vysvětlení - "relace mezi koncovým uživatelem a Kernun BS je jiná, než mezi Kernun BS a datovou schránkou. Takže i když by ji někdo „ukradl“ a chtěl v ní pokračovat, již přímo vůči ISDS, opět mu nebude k ničemu, protože v ní nedokáže pokračovat".
Výrobce zařízení Kernun Bezpečná schránka, firma TNS jako jediná poskytuje zdrojové kódy, takže se každý může sám přesvědčit, co zařízení dělá.
Nevím jak ostatním, ale mě připadá, že toto řeení nezajistí vyšší bezpečnost, ale naopak.
- Pokud mohu ukrást session s ISDS, tak stejně tak mohu ukrást sessio s KERNUM
- KERNUM je MITM sám o sobě
- KERUM pouze přidává další bod možného selhání
Pokud je jejich řešení stejně bezpečné jako přístup do jejich partnerské zóny http://www.kernun.cz/partnerska_zona tak to musí být super bezpečné.
BTW: Tuší někdo kolik ta šmírovací proxy stojí?
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
