Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 25.05.2016, 10:38   #1051
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 253

kroxus вне форума

IT-безопасность-свежие новости.


В Instagram решена проблема брутфорса

Facebook закрыла две уязвимости, позволявшие угадывать пароли к Instagram перебором по словарю, а также ужесточила требования к паролям на этом сервисе.

О наличии брутфорс-брешей владельцу Instagram сообщил исследователь Арне Свиннен (Arne Swinnen) — в декабре и феврале соответственно. Одну из них Facebook устранила в феврале, патчи для другой пришлось выпускать дважды, прежде чем проблема была окончательно решена 10 мая. За обнаружение этих багов Свиннену было совокупно выплачено $5 тыс. в рамках Bug Bounty.

Проблему в данном случае усугубили слабые политики в отношении паролей на Instagram, а также практика нумерации ID пользователей в порядке нарастания. Эти упущения, по мнению Свиннена, повышали риск взлома, облегчая задачу злоумышленникам. «Это позволяло скомпрометировать многие аккаунты, в том числе высокого ранга, причем без какого-либо взаимодействия с пользователем», — пишет исследователь в публичном отчете.

В качестве ответной меры Instagram теперь не принимает слабые пароли, требуя сочетание как минимум шести букв, цифр и знаков препинания, и не рекомендует использовать этот пароль на других сайтах.

Свиннен отметил и другие недочеты, также повышающие риски взлома учетных записей Instagram. Так, двухфакторная аутентификация была введена на сервисе лишь в минувшем феврале, и многие ею не пользуются. Кроме того, на Instagram до сих пор нет политики блокировки учетных записей. Что касается уязвимостей, первая затрагивала Android-приложение Instagram и позволяла обойти закрепление SSL-сертификатов, призванное предотвращать MitM-атаки и обеспечивать дополнительную проверку сертификатов в подтверждение доверенного статуса. «Для модификации конкретного клиентского соединения и проведения атаки нужно как-то исхитриться и получить от Android-приложения ключ, используемый для генерации подписи HMACSHA256 на основе POST-параметров исходящего запроса», — поясняет Свиннен.

Исследователь написал Burp-плагин, выполняющий брутфорс против системы аутентификации мобильных приложений. Как оказалось, Instagram допускает до 1 тыс. попыток залогиниться с одного и того же IP-адреса, прежде чем вернуть ответ «Username not found» («Имя пользователя не найдено») и замедлить скорость для данного соединения.

«Однако лишь последующие 1 тыс. повторных попыток ввернули ошибку «Username not found», а с двухтысячной я начал получать достоверный ответ (пароль корректен/неверен), за которым следовал отказ («User not found»), — говорит Свиннен. — Это позволяет надежно воспроизвести брутфорс-атаку, так как при таком раскладе можно делать выводы из информативных ответов, а при ошибке просто повторять попытку, пока не будет получено искомое сообщение. Единственным ограничением для данной атаки является тот факт, что в среднем приходится делать два запроса на аутентификацию, чтобы получить надежный результат по отгадке пароля». Facebook исправила этот баг, скорректировав функцию ограничения скорости соединения.

Вторая уязвимость позволяла провести брутфорс-атаку на систему регистрации Instagram, причем без нежелательных последствий — блокировки аккаунта или срабатывания другой защиты. Свиннен начал повторять свой успешный запрос, но удалил из него параметры username и password и стал отслеживать ответы. Ему потребовалось более 10 тыс. попыток, чтобы угадать пароль и получить подтверждение.

Февральский патч в данном случае привнес ограничение по скорости для IP, однако он оказался неудачным, и Facebook пришлось его дорабатывать.

Подробности
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика