Przejmowanie sesji: co to jest i jak działa?
Przechwytywanie sesji – inaczej przejmowanie sesji TCP, to cyberatak, który ma miejsce podczas sesji użytkownika. Dzieje się tak, gdy cyberatakujący włamuje się w aktywną sesję między serwerem odwiedzanej witryny a komputerem, aby ukraść pewne informacje.
W przejętej sesji cyberatakujący może z łatwością monitorować Twoją aktywność. Może również wyrzucić cię z sesji i przejąć w razie potrzeby.
To naprawdę może mieć na ciebie wpływ, jeśli korzystasz z bankowości internetowej, a twoja sesja zostanie przejęta pomiędzy. Atakujący może zdobyć wiedzę o Twoim identyfikatorze sesji poprzez sesję plików cookie, podszywać się pod Ciebie i przelać pieniądze na swoje konto.
Chociaż ten rodzaj przejęcia może mieć miejsce w dowolny sposób, częściej zdarza się podczas sesji przeglądania aplikacji internetowych.
Przejmowanie sesji — jak to działa?
(Kredyty obrazkowe: SSLstore.com)
Istnieje wiele technik stosowanych przez hakerów do przeprowadzania przejmowania sesji. Obejmują one przechwytywanie po stronie sesji, ataki typu man-in-the-browser, utrwalanie sesji, przewidywalne identyfikatory tokenów sesji, sniffing sesji i cross-site scripting.
Sprawdźmy je szczegółowo:
1 Sesja side-jacking:
Sesja side-jacking jest zwykle stosowana w przypadku niezabezpieczonej sieci Wi-Fi. W tej technice cyberatakujący wykorzystuje sniffowanie pakietów do monitorowania ruchu w sieci, a następnie przechwytuje sesyjne pliki cookie po uwierzytelnieniu użytkownika na serwerze.
W przypadku, gdy witryna używa szyfrowania TLS/SSL do swoich stron logowania, osoby atakujące mogą uzyskać klucz sesji z sniffingu pakietów, aby podszywać się pod użytkownika i przejąć jego sesję.
2 Atak typu „człowiek w przeglądarce":
Ten rodzaj ataku jest dość podobny do ataków typu man-in-the-middle. Atakujący musi najpierw zainfekować komputer użytkownika wirusem trojańskim. Gdy tylko użytkownik zainstaluje to złośliwe oprogramowanie na swoim komputerze, trojan czeka, aż użytkownik odwiedzi dowolną witrynę.
Ten typ ataku może łatwo modyfikować szczegóły transakcji dowolnego użytkownika i może tworzyć różne inne transakcje za jego plecami. Ponieważ wszystkie żądania transakcji są wysyłane z systemu użytkownika, strony internetowe nie mogą zidentyfikować, czy są fałszywe.
3 Sesja fiksacyjna:
Ta metoda nakłania użytkownika do uwierzytelnienia nieuwierzytelnionego identyfikatora sesji. Po uwierzytelnieniu cyberatakujący może uzyskać dostęp do systemu ofiary.
(Kredyty obrazkowe: SSLstore.com)
4 Sesja wąchania:
Podsłuchiwanie sesji jest dość podstawową metodą przejmowania sesji użytkownika. Cyberatakujący używa Wireshark, proxy OWASP Zed lub dowolnego innego sniffera do przechwytywania ruchu sieciowego zawierającego identyfikator sesji między klientem a witryną.
Gdy już go osiągnie, może uzyskać nieautoryzowany dostęp za pomocą tego tokena.
(Kredyty obrazkowe: SSLstore.com)
5 Skrypty między witrynami:
Cyberprzestępcy wykorzystują luki w zabezpieczeniach serwera lub aplikacji do wstrzykiwania skryptów po stronie klienta do stron internetowych. Z tego powodu za każdym razem, gdy ładowana jest zhakowana strona, przeglądarka wykonuje dowolny kod.
Jeśli pliki cookie sesji nie są ustawione na HttpOnly, to za pomocą wstrzykniętych skryptów atakujący mogą uzyskać dostęp do klucza sesji, uzyskując w ten sposób szczegóły wymagane do przejęcia sesji.
6 Przewidywalny identyfikator tokena sesji:
Do generowania identyfikatora sesji różne serwery internetowe używają predefiniowanego wzorca lub niestandardowego algorytmu. Jeśli przewidywalność tokena sesji jest wysoka, to jest to dość łatwe do przewidzenia. Jeśli haker może analizować różne wzorce, przechwytując wiele identyfikatorów sesji, może przewidzieć dokładny identyfikator sesji.
Co cyberatakujący osiągają dzięki przejęciu sesji?
Dzięki aktywnej porwanej sesji atakujący mogą zrobić praktycznie wszystko, do czego ofiara miała przywilej.
Ataki mogą wahać się od umiarkowanego do ciężkiego. Poważne przykłady przejmowania sesji obejmują kradzież danych osobowych (PII) w celu kradzieży tożsamości, przelewanie ogromnej ilości pieniędzy z konta ofiary oraz kupowanie towarów w sklepach internetowych.
Przykłady przejmowania sesji
Wykorzystując współczynnik kompresji wycieków danych żądań TLS, osoby atakujące uzyskują dostęp do plików cookie logowania użytkownika, które stają się kluczem do przechwycenia ich sesji w różnych witrynach e-commerce i bankach.
Taki atak pojawił się w centrum uwagi we wrześniu 2012 r., kiedy organizacja porywaczy sesji o nazwie CRIME zaangażowała się w naruszenie witryny internetowej firmy.
CRIME używa metody brute force do odszyfrowywania plików cookie HTTPS w celu określenia uwierzytelnionych użytkowników. Przeglądarka ofiary jest następnie zmuszana przez kod ataku do wysłania specjalnie spreparowanych żądań HTTPS do atakowanej witryny internetowej i analizowania zmienności ich długości po skompresowaniu, co pomaga określić wartość sesyjnego pliku cookie ofiary.
Jest to możliwe tylko dlatego, że szyfrowanie TLS/SSL wykorzystuje DEFLATE, algorytm kompresji, który eliminuje zreplikowane ciągi.
Kod ataku nie może odczytać pliku cookie sesji, ale może wstawiać różne ciągi i kontrolować ścieżki wszystkich nowych żądań. Wartości plików cookie sesji mogą być dość obszerne, ale opracowano wiele algorytmów, aby ataki były skuteczne.
Jakie są zagrożenia i konsekwencje przejęcia sesji?
Udane przejęcie sesji może umożliwić atakującemu zrobienie wszystkiego, co może zrobić ofiara. Wiąże się to z różnymi znaczącymi zagrożeniami. Sprawdźmy kilka:
1 Kradzież tożsamości:
Poprzez przejmowanie sesji osoby atakujące mogą uzyskać dostęp do danych osobowych użytkowników, które mogą posłużyć do kradzieży tożsamości tych użytkowników.
2 Korzystanie z SSO w celu uzyskania dostępu do dodatkowych systemów:
Włączając metodę jednokrotnego logowania (SSO), cyberprzestępcy mogą bez wysiłku uzyskać dostęp do dodatkowych systemów, tym samym zwiększając ryzyko przechwycenia sesji. Ten rodzaj ryzyka jest istotny dla firm, które umożliwiają swoim pracownikom SSO.
3 Kradzież pieniędzy:
Atakujący mogą z łatwością przeprowadzać różne transakcje pieniężne w imieniu ofiary. Może to obejmować zakupy online za pomocą zapisanych szczegółów płatności i przelanie pieniędzy na inne konto.
4 Kradzież danych:
Cyberprzestępcy mogą ukraść dane firmy lub dane osobowe zapisane w aplikacji internetowej i wykorzystać je dla własnych korzyści, które mogą obejmować wyrządzenie szkody firmie/ofiary.
Jak chronić się przed przejęciem sesji?
Przechwytywanie sesji, podobnie jak phishing, jest jednym z rosnących zagrożeń cyberbezpieczeństwa na świecie. Chociaż istnieje wiele sposobów ochrony przed cyberatakiem, oto kilka skutecznych metod ochrony przed przejęciem sesji:
1 Zmień klucz sesji po uwierzytelnieniu:
Aby uniknąć tego typu przechwycenia za pomocą metody utrwalania sesji, należy zmienić klucz sesji po uwierzytelnieniu podczas logowania. W ten sposób, nawet jeśli atakujący uzyska dostęp do właściwego klucza sesji, nie będzie znał klucza do całej sesji.
2 Używaj tylko protokołu HTTPS:
W przypadku całkowicie bezpiecznych sesji strony bardzo ważne jest, aby używać protokołu HTTPS w każdej witrynie i aplikacji. HTTPS zapewnia, że szyfrowanie SSL/TLS jest dostępne przez całą sesję.
3 Użyj VPN:
Wirtualna sieć prywatna (VPN) to kolejny sposób zapobiegania atakom polegającym na przejmowaniu sesji w sieci. VPN maskuje Twój pierwotny adres IP i zapewnia bezpieczeństwo, tworząc zaszyfrowany tunel między Tobą a witryną. W ten sposób żaden atakujący nie będzie w stanie włamać się do Twojej sieci.
Istnieje wiele innych niezawodną usługę VPNi chronić się przed przejmowaniem sesji i wieloma innymi cyberatakami.
4 Dodaj dodatkowe obszary na informacje o tożsamości:
Możesz dodać kolejną warstwę ochrony do swojej sieci, wprowadzając dodatkowe informacje o tożsamości poza kluczem sesji. Obejmuje to sprawdzenie zwykłego adresu IP użytkownika i wzorców użytkowania.
5 Aktualizuj swoje systemy:
Włącz automatyczne aktualizacje, aby Twój system był aktualny na wszystkich urządzeniach. Możesz także zainstalować niezawodne oprogramowanie antywirusowe, aby pozostać chronionym przed wszelkiego rodzaju złośliwym oprogramowaniem. Obejmuje to również złośliwe oprogramowanie używane przez atakujących do przejmowania sesji.
Możesz również uzyskać program antywirusowy z VPN, dzięki czemu możesz zaspokoić oba swoje potrzeby za pomocą jednego oprogramowania.
Wniosek
Przejmowanie sesji jest poważnym zagrożeniem, którego ofiarami padają użytkownicy na całym świecie. Istnieje jednak wiele sposobów ochrony przed tymi atakami. Kilka skutecznych środków zapobiegawczych zostało wymienionych powyżej.
Te środki bezpieczeństwa wymagają głębokiego zrozumienia protokołów bezpieczeństwa i szyfrowania. Jeśli tego brakuje, może to prowadzić do znacznego naruszenia bezpieczeństwa danych.
Jeśli chcesz uchronić całą organizację przed przejęciem sesji, musisz zapoznać pracowników z najlepszymi praktykami w zakresie cyberbezpieczeństwa.