Ze systému Microsoft CardSpace lze ukrást token

Dva studenti na katedře počítačové bezpečnosti univerzity v německém Bochumu údajně spolu se svým profesorem přišli na způsob, jak ošidit bezpečnostní technologii Microsoftu CardSpace. Tento způsob správy přihlašovacích údajů zadávaných do webových formulářů Microsoft uvedl spolu s Windows Vista.



Dva studenti na katedře počítačové bezpečnosti univerzity v německém Bochumu údajně spolu se svým profesorem přišli na způsob, jak ošidit bezpečnostní technologii Microsoftu CardSpace. Tento způsob správy přihlašovacích údajů zadávaných do webových formulářů Microsoft uvedl spolu s Windows Vista.

Konkurenční technologií pro CardSpace je OpenID, open source projekt správy identit používaný např. Yahoo. Lze předpokládat, že obě technologie budou v budoucnu stále interoperabilnější a data mezi nimi půjde sdílet.

CardSpace pracuje zhruba tak, že na uživatelově počítači vytvoří sadu karet obsahující údaje zadávané na nějakém serveru. Uživatel pak při přihlášení vybere pouze příslušnou kartu. Technologie je na druhé straně určena i pro provozovatele serveru, kteří mohou zvolit, o jaký typ karet mají zájem. Uživatel pak vybírá jednu z karet, které se mu zobrazí jako akceptovatelné. Uživatel může taktéž pomocí karet/certifikátů ověřit identitu provozovatele webu. Kromě osobních karet, které si uživatel vytvoří, respektive upravuje sám, existují v systému i karty spravované například kreditními společnosti.

Když uživatel navštíví určitý web, nezašle své údaje/karty přímo, ale nejprve si od správce identit nechá vygenerovat příslušný token, který mj. zařídí, aby další komunikace probíhala přes SSL. Bezpečnostní problém má spočívat v tom, že tento token lze ale ze systému CardSpace "extrahovat". Podvodník pomocí podvržení DNS vyláká uživatele na falešný server a jsou-li v uživatelově počítači změněna nastavení DNS, správce identit nic nepozná. Útočník se tak dostane k tokenu, může se dostat k uživatelovým citlivým informacím nebo pomocí tohoto tokenu získá přístup na další servery.

Protože se jedná o akademický výzkum, žádné bezprostřední riziko zneužití nehrozí. Autoři objevu ovšem předpokládají, že podobné postupy brzy zkusí i podvodníci. Představitelé Microsoftu se k problému zatím nevyjádřili a firma popsanou možnost zneužití nepotvrdila.

Zdroj: Computerworld.com










Komentáře