Τρίτη 1 Ιουνίου 2010

"“Όλα στη φόρα” από την American Express!"


"Έχετε μια καρτούλα της American Express; Πάρα πολύ ωραία. Την χρησιμοποιείτe και για online συναλλαγές; Εξαίσια! Μόλις μπήκατε στην παρέα όσων “διαθέτουν ελεύθερα τα στοιχεία τους στο Internet” προς όποιον αποφασίσει να “σνιφάρει” (εκ του “sniffing”, “να παρακολουθήσει”) τα δεδομένα τους! Δεν χρειάζεται να “είναι hacker”, να “σπάσει κάποια προστασία” ή κάτι...


τέτοιο… Α, όχι!

Βλέπετε, μόλις εντοπίστηκε ένα σημαντικότατο πρόβλημα κατά τις online συναλλαγές μέσω American Express: όλα τα στοιχεία που μεταφέρονται προς τους servers τους ΔΕΝ, το τονίζω, ΔΕΝ είναι κρυπτογραφημένα. Μπορείτε, δηλαδή, να θεωρείτε εξαρχής δεδομένο πως θα βρίσκονται ελεύθερα στους servers του πάροχου πρόσβασης σας, κάπου, σε κάποια log files, και να κοιμάστε ήσυχοι στη σκέψη πως “κατά 99,9% κανείς δεν θα θέλει να ψάξει σε αυτά τα χαώδη log files για στοιχεία πιστωτικών καρτών”… Μμμμ… Ναι…

Από την άλλη, αν κανείς “κολλήσει σαν τσιμπούρι” στη σύνδεση σας και αρχίσει να καταχωρεί όλα τα δεδομένα που μεταφέρονται από αυτήν, έχοντας εξαρχής ως στόχο “να φάει τα στοιχεία σας” και να αποκτήσει πρόσβαση στον τραπεζικό λογαριασμό σας, μάλλον κατά 99,9% την επόμενη μέρα τα χρήματα σας θα έχουν κάνει φτερά.

Το πρόβλημα εντοπίστηκε από τον Joe Damato, ο οποίος… χάζευε τον κώδικα του τραπεζικού site του, για να δει πως είχαν φτιάξει μια φόρμα στη σελίδα, παρατήρησε πως δεν χρησιμοποιούταν το πρωτόκολο ασφαλούς επικοινωνίας HTTPS. “Σνιφάροντας” τα πακέτα που μετέφερε ο browser προς τους servers και το αντίστροφο, είδε πως όλα τα στοιχεία ενός ψεύτικου λογαριασμού που δημιούργησε ήταν άμεσα ορατά. Ούτε “μπλεγμένα”, ούτε “κρυπτογραφημένα”, ούτε τίποτα.
productivity.gr/"
Share on Facebook