В публикацията си, младите учени предоставят не само теоретични, но и напълно приложими методи, като доказателство на твърдението си, че CardSpace не осигурява необходимата защита срещу кражба на лични данни.
Технологията CardSpace създава и подържа набор от виртуални карти (InfoCard) на потребителския компютър, или на сървърите на компании, предлагащи услуги за съхранение на лична информация. Така за достъп до даден ресурс (сайт или онлайн услуга), вместо да се идентифицира с парола, от потребителя се иска само да потвърди пращането на някоя от виртуалните карти. Всъщност при транзакцията не се предава директно идентифициращата информация на клиента, а към нея се добавя маркер (т.нар. Security token) и с помощта на основни криптографски протоколи към сайта се изпраща криптирана информация за удостоверяване на заявката.
Атаката срещу CardSpace, която осъществяват студентите се базира на прихващане на този маркер. За целта, чрез манипулиране на DNS сървъра, хакера пренасочва потребителя към фалшив сайт, съдържащ зловреден код – метод познат още като pharming атака. По такъв начин много лесно може да се хване автентифициращия маркер, с което да се получи достъп до виртуалната карта за удостоверяване на потребителя.
Въпреки, че използват метода си единствено за да открият пропуски в идентифициращата система на Microsoft, с цел да бъде подобрена сигурността и, учните Sebastian Gajek, Jörg Schwenk и Xuan Chen изразяват загриженост, че съвсем скоро могат да последват нови, съвсем не толкова невинни атаки.
От Microsoft официално заявяват, че внимателно ще проучат изследването на студентите от Horst Görtz.
снимки: nds.rub.de
Източник: IDG.BG
* Моля, коментирайте конкретната статия и използвайте кирилица! Не се толерират мнения с обидно или нецензурно съдържание, на верска или етническа основа, както и написани само с главни букви!