OpenID和OAuth易受攻击,需保持警惕

在发现恼人的Heartbleed bug短短数周之后,像你我这样的普通网民可能需要关心一下另一个看似普遍的问题,这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义,并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的;前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用,后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用,但事实证明,这可能会导致您的信息泄露。 威胁 我们在Threatpost的朋友针对这一问题给出了更具技术性的解释,并顺带提供一个原始研究链接,但我们会省略不必要的细节,只说明可能发生的攻击场景和后果。首先,用户访问一个恶意钓鱼网站,其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮,则会出现一个逼真的Facebook/G+/LI弹出窗口,提示用户输入自己的登录名和密码信息以授权上述(并且可能有声誉的)服务来访问他们的用户配置文件。最后,使用不当的重定向方式,将使用该配置文件的授权被发送到不正当(钓鱼)网站。 首先,用户访问钓鱼网站,并尝试使用Facebook账户或其他OpenID提供商账户登录。 在当天结束的时候,网络罪犯收到一个适当的授权(OAuth token),利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下,只是访问基本的用户详细信息;最坏的情况下,可读取联系人、发送消息等内容。 这一bug已被修复?事实并非如此 这个威胁不会很快消失,因为修复必须在提供商端(如Facebook/LinkedIn/谷歌)和客户端(第三方应用程序或服务)同时执行。OAuth协议仍处于测试阶段,各个供应商使用不同的手段措施,并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置,因采取了更为严格的处理措施:即要求第三方开发人员提供适当重定向的”白名单”。到目前为止,每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同,因为其所拥有大量第三方应用程序,并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶,”无法在短期内修复的原因”。 此外,还存在众多似乎易受攻击的其他供应商(查看以下图片),因此如果您使用这些服务登录某些网站,则必须采取行动。 您的行动计划 对于最谨小慎微的用户来说,最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性,但使用社交网络账户登陆将导致您线上行为被更有效地追踪,并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码,您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步,以确保您能在自己不同的设备上访问您所有密码。 对于谨慎的用户来说,最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect 然而,如果你打算继续使用OpenID授权,并不会发生什么直接的危险。你只需要保持高度警惕,避免任何网络钓鱼诈骗,它们的通常手法是首先向您的邮箱发送骚扰邮件,或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务,应确保您使用手动输入的地址或书签打开此服务的网站,而不是点击您的邮件或者消息中的链接。仔细检查地址栏,避免访问粗制滥造的假网站,且不使用OpenID注册新服务,除非您100%肯定相应服务信誉良好且登录的是正确网站。此外,请在您所有设备上使用安全浏览解决方案,如卡巴斯基安全软件多设备版,以防止浏览器访问危险站点,包括网络钓鱼网站。 这只是一个为谨慎起见而采用的普通防范练习,每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大,它会导致各类数字财产损失,包括:信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。

在发现恼人的Heartbleed bug短短数周之后,像你我这样的普通网民可能需要关心一下另一个看似普遍的问题,这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义,并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的;前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用,后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用,但事实证明,这可能会导致您的信息泄露。

威胁

我们在Threatpost的朋友针对这一问题给出了更具技术性的解释,并顺带提供一个原始研究链接,但我们会省略不必要的细节,只说明可能发生的攻击场景和后果。首先,用户访问一个恶意钓鱼网站,其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮,则会出现一个逼真的Facebook/G+/LI弹出窗口,提示用户输入自己的登录名和密码信息以授权上述(并且可能有声誉的)服务来访问他们的用户配置文件。最后,使用不当的重定向方式,将使用该配置文件的授权被发送到不正当(钓鱼)网站。

首先,用户访问钓鱼网站,并尝试使用Facebook账户或其他OpenID提供商账户登录。

在当天结束的时候,网络罪犯收到一个适当的授权(OAuth token),利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下,只是访问基本的用户详细信息;最坏的情况下,可读取联系人、发送消息等内容。

这一bug已被修复?事实并非如此

这个威胁不会很快消失,因为修复必须在提供商端(如Facebook/LinkedIn/谷歌)和客户端(第三方应用程序或服务)同时执行。OAuth协议仍处于测试阶段,各个供应商使用不同的手段措施,并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置,因采取了更为严格的处理措施:即要求第三方开发人员提供适当重定向的”白名单”。到目前为止,每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同,因为其所拥有大量第三方应用程序,并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶,”无法在短期内修复的原因”。

此外,还存在众多似乎易受攻击的其他供应商(查看以下图片),因此如果您使用这些服务登录某些网站,则必须采取行动。

您的行动计划

对于最谨小慎微的用户来说,最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性,但使用社交网络账户登陆将导致您线上行为被更有效地追踪,并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码,您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步,以确保您能在自己不同的设备上访问您所有密码。

对于谨慎的用户来说,最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect

然而,如果你打算继续使用OpenID授权,并不会发生什么直接的危险。你只需要保持高度警惕,避免任何网络钓鱼诈骗,它们的通常手法是首先向您的邮箱发送骚扰邮件,或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务,应确保您使用手动输入的地址或书签打开此服务的网站,而不是点击您的邮件或者消息中的链接。仔细检查地址栏,避免访问粗制滥造的假网站,且不使用OpenID注册新服务,除非您100%肯定相应服务信誉良好且登录的是正确网站。此外,请在您所有设备上使用安全浏览解决方案,如卡巴斯基安全软件多设备版,以防止浏览器访问危险站点,包括网络钓鱼网站。

这只是一个为谨慎起见而采用的普通防范练习,每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大,它会导致各类数字财产损失,包括:信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。

4月主要网络犯罪起诉案

本文将为您带来警察部门和安全专家在寻找黑客和网络罪犯方面的进展。呈上4月所发生的几起重大网络犯罪起诉案件。 俄罗斯黑客遭美国引渡 俄罗斯黑客Vladimir Drinkman涉嫌参与网络犯罪集团,他于两年前在荷兰被捕,面临着美国和俄罗斯的引渡要求。将由荷兰当地司法部决定由哪国处置,但Drinkman依旧抱有上诉权利。无论如何,Vladimir Drinkman似乎都将面临数年的牢狱之灾。Drinkman被控入侵数十家零售商、支付处理商和金融公司,窃取1.6亿多张信用卡和借记卡的信息。此案被认为是迄今为止美国境内最大的金融黑客攻击案件。调查人员表示,自2007年以来,该团伙长期从事网络犯罪活动,并导致受害公司遭受3亿多美元的损失。除Drinkman以外,另外4名犯罪成员被控合谋计算机攻击:其中3人来自俄罗斯,另一人为乌克兰人。 因使用木马获刑8年 一家莫斯科法院对两名年轻男子作出宣判,起因是这两人使用令人厌恶的Carberp木马从银行帐户中窃取钱款。该两名男子不断传播恶意软件并越权访问用户计算机和网上银行账户。在完全控制受害者的计算机后,将用户帐户上的资金转到一个虚拟帐户,随后通过普通的自动柜员机提款。经过半年时间的”不断努力”,两名男子在短短3个月时间里完成了至少90笔交易,窃取受害人钱款累计达360万美元左右直至被捕。但显然他们已无从挥霍这笔巨款了:两兄弟中,1人将面临5年监禁,另1人则将度过8年的铁窗生涯。有趣的是,据报道两兄弟中的弟弟有重大犯罪背景,甚至还在被控房地产欺诈后遭到全球通缉。此次调查是由俄罗斯一家最大的银行发起,俄罗斯网络警察在荷兰和加拿大专家的帮助下也参与其中。 网络罪犯继续从事违法勾当,执法机构成功将其绳之以法。此类案件每月频繁上演,以下是4月以来最有趣的案例。 Carder.su协调人出庭 Carder.su作为最臭名昭著的犯罪团伙之一,其成员在过去几年间遭到执法部门的严令通缉,目前已失去一名主要协调人。四月上旬,来自格鲁吉亚的Cameron Harrison(又被叫做”Kilobit”)格鲁吉亚同意认罪。据检查官称,Harrison大约于6年前加入Carder.su犯罪团伙并且扮演了关键角色:窃取信用卡卡号随即将这些信息转售给其他犯罪分子。所有这些犯罪活动在全球造成约5000万美元的损失,当局于2012年打垮了Carder.su犯罪团伙,以非法交易和制造被窃信用卡及冒牌信用卡为名起诉了该团伙的55名成员。现在,Harrison可能将面临长达20年的监禁生活。他还可能不得不支付巨额赔偿金,以补偿他对众多支付系统(例如Visa和MasterCard)客户所造成的损失。 使用ZeuS可能会造成损失 9名涉嫌敲诈勒索团伙成员因使用ZeuS恶意软件使数千台企业计算机受感染,而遭到美国内布拉斯加州林肯市的地方法院起诉。其中31岁的乌克兰人Yuriy Konovalenko和36岁的Yevhen Kulibaba被控合谋实施计算机诈骗和身份盗窃、恶性身份盗窃以及多起银行诈骗案,最近已从英国被引渡到美国。此次调查是在美国、英国、荷兰和乌克兰警察联合协助下进行的。据报道,两人都负责所谓”钱骡”的环节。这些人扮演中间人的角色,他们从受害人的银行账户窃取钱款,然后转移至他处取款。Konovalenko和Kulibaba可能将面临长达40年的监禁。其他7名成员仍然逍遥法外,但显然不会逍遥太久。 因使用KVM设备而被判入狱8年 一个犯罪团伙的9名成员被判处监禁,罪名是使用特殊KVM设备从巴克莱银行窃取210万美元。只需通过一套鼠标、键盘和显示器,即可使用该种硬件访问大量远程计算机。据检察官称,一名作为受邀计算机技术员在银行工作的诈骗分子将一个KVM切换器和一个调制解调器安装到银行的计算机系统中。其结果是,该团伙不仅能够访问在银行内使用的计算机,还能访问整个内部网络以及其中存储的所有信息。所有非法交易都是在银行附近的一家酒店进行。此后,该团伙将所有的非法所得都都花在了定制珠宝、劳力士手表等贵重物品上。但现在,他们只能在牢狱中苟且度日了:团伙的每一名成员的刑期从6个月到8年不等。

提示