  |
Za poslednú hodinu: 80 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Sobota, 23. novembra 2024, dnes má meniny Klement |
|
Používate skracované URL? Pozor na súkromie a bezpečnosť
Používanie skracovačov dlhých internetových adries a využívanie ponúkaných skrátených URL na rozličných webových službách má svoje vážne dôsledky v oblasti ochrany súkromia a bezpečnosti. Preukázala to tento týždeň zverejnená práca dvojice expertov, ktorá demonštrovala verejné sprístupnenie potenciálne citlivých dát len kvôli použitiu skrátených URL na službách Google Mapy a Microsoft OneDrive. Dôsledky používania skrátených URL si pritom užívatelia často zrejme neuvedomujú. Internet
Preukázala to tento týždeň zverejnená práca dvojice expertov, Vitalija Šmatikova z Cornellu a Martina Georgieva. Skracované URLSkrátené URL umožňujú skrátenie dlhých internetových adries obsahujúcich napríklad množstvo parametrov na minimalistickú krátku URL v podobe krátkej domény a krátkeho identifikačného reťazca, ktorá je následne presmerovaná na pôvodnú URL. Takéto krátke URL je možné bez problémov používať napríklad v krátkych textových správach, ručne ich prepisovať, nadiktovať ich cez telefón, uvádzať pohodlnejšie na webe.V identifikačnom reťazci sa typicky používajú iba malé a veľké písmená anglickej abecedy a číslice, spolu 62 rozličných znakov. Službu skracovania URL ponúkajú rozličné služby zameranú na túto funkčnosť, najznámejšou je Bit.ly, ale tiež rozličné webové služby ponúkajúce skrátené URL na jednoduchšie odkazovanie na konkrétne dokumenty a informácie v danej službe. Typickým príkladom je webová služba Google Mapy, ktorá ponúka skrátené URL napríklad pre zobrazenie vyhľadanej lokality alebo vyhľadané trasy. Takéto služby buď využívajú vlastný skracovač ako goo.gl, ale často aj službu skracovača Bit.ly umožňujúcu ju využívať na inej doméne. Napríklad Microsoft vo OneDrive využíva doménu 1drv.ms, v skutočnosti prevádzkovanú Bit.ly. Ochrana súkromia a bezpečnosťSkracovače sa veľmi často používajú na skrátenie verejných URL adries, so zverejnením ktorých používatelia skracovačov nemajú najmenší problém respektíve adresy priamo skracujú za účelom ich zverejnenia.Časť využitia skracovaných URL je ale na skrátenie adries, ktoré už môžu prezrádzať citlivé informácie respektíve odkazovať na stránky s takýmito informáciami. Príkladom sú napríklad odkazy v cloudových službách úložiska súborov ale aj mnohé ďalšie. Užívatelia môžu takéto skrátené URL vytvárať pre vlastnú potrebu alebo pre zaslanie iným dôveryhodným osobám. Dopady takéhoto používania skracovačov pre individuálnych používateľov boli samozrejme jasné aj doteraz, aj keď sa na ne verejne dostatočne neupozorňovalo. Keďže skracovače využívajú krátke URL a zároveň iba obmedzený počet rozličných znakov pre dobrú čitateľnosť, množstvo všetkých možných URL pre danú skracovaciu službu je tak relatívne malé. Napríklad Bit.ly v súčasnosti používa za doménou šesť znakov alebo sedem znakov ale začínajúcich znakom 1, možných URL takéhoto formátu je tak len cca 114 miliárd. Ak je útočník schopný odskúšať miliardu možných skrátených URL, s pravdepodobnosťou až 1% objaví konkrétnu skrátenú URL užívateľa. Podľa Šmatikova a Georgieva je ale praktické dokonca preveriť všetky možné skrátené URL a objaviť tak úplne každú pôvodnú URL v Bit.ly. Prevádzkovateľ má vo svojom API limity napríklad na jednu IP adresu klienta, využiť je ale možné napríklad množstvo serverov v Amazon EC2. Pri využití platenej služby by dnes podľa nich nájdenie všetkých URL v Bit.ly stálo 36.7 tisíc dolárov, s rozličnými bezplatnými akciami alebo botnetom by to bolo výrazne lacnejšie až zadarmo. Pri individuálnom použití skracovačov na potenciálne citlivé URL by tak užívatelia mali zvažovať, či je takéto riziko pre nich prípustné respektíve ku skrátenej URL pristupovať ako k potenciálne verejnej URL. Zistenia expertovŠmatikov a Georgiev teraz navyše ukázali, že na ochranu súkromia a bezpečnosť príliš okrem prípadne samotných užívateľov nemyslia respektíve do ich výskumu nemysleli ani prevádzkovatelia iných služieb ponúkajúcich užívateľom skrátené odkazy do ich stránok.Zároveň ukázali ako veľa skrátených URL je možné prakticky preveriť a ako veľa potenciálne citlivých informácií sa medzi nimi nachádza. OneDriveExperti preverili cca 200 miliónov náhodných Bit.ly adries, pomocou API tejto služby. Toto hľadanie bolo zamerané najmä na OneDrive, keď adresy 1drv.ms tejto služby fungujú aj so zamenením domény za bit.ly.42% z preverených 6-znakových a 29% zo 7-znakových skrátených URL bolo platných. V nich identifikovali celkovo až cca 67 tisíc odkazov na OneDrive alebo SkyDrive súbory a cca 47 tisíc bolo stále funkčných. Navyše OneDrive umožňoval z nájdených URL súborov vyhľadať ďalšie zdieľané súbory na danom účte. Z 24.2 tisíc funkčných OneDrive súborov tak experti našli celkom 1.3 milióna prístupných súborov. Zdieľanie súborov cez odkazy je na OneDrive jednoduchšou formou zdieľania, nevyžadujúcou povoľovanie prístupu pre jednotlivých užívateľov a použiteľnou aj na verejné zdieľanie a takto ho Microsoft aj prezentuje. Služba poskytuje okrem toho ešte zdieľanie, pri ktorom užívateľ povoľuje prístup k súborom individuálne. Pre časť identifikovaných prístupných súborov tak užívateľ nepochybne vytvoril skrátený odkaz pre zdieľanie s cieľom súbor aj verejne zdielať. Časť užívateľov ale nepochybne odkaz použila len pre vlastné potreby a zdieľanie s dôveryhodnými osobami a pri jeho vytvorení si nebola vedomá dôsledkov vytvorenia skráteného odkazu. Navyše k časti súborov bol povolený aj prístup umožňujúci súbory zmeniť a útočník tak môže napríklad infikovať súbory užívateľov. Konkrétne prístup na zápis bol u 1.7 tisíc súborov z 24.2 tisíc funkčných súborov. Experti preverili len cca 0.176% všetkých možných skrátených URL, pri preverení všetkých by sa tak malo nájsť 568-krát viac prístupných súborov. Microsoft v každom prípade nepovažoval zistenia expertov za hrozbu a na nahlásenie hneď nezareagoval. Experti mu zistenia prezentovali 28. mája 2015, na začiatku augusta ich odmietol ako neopodstatnené. V marci 2016 zrušil možnosť vytvárať skrátené odkazy aj prechádzať účet z jedného získaného odkazu, už nazdielané odkazy zostali prístupné. Expertom mal poskytnúť stanovisko, podľa ktorého k zmenám neprístupil kvôli ich zisteniam a zistenia stále nepovažuje za zraniteľnosť. Google Mapy a ďalšie mapySlužba Google Mapy používala dokonca URL s iba 5 identifikačnými znakmi, z ktorých experti preverili cca 64 miliónov respektíve 7%.Našli v nich cca 24 miliónov platných skrátených odkazov, z ktorých 2.4 milióna respektíve 9.8% smerovalo na vyhľadané trasy a zvyšok na individuálne lokality. Najmä nájdené trasy prezrádzajú množstvo súkromných informácií, keď jeden koniec môže prezradiť adresu užívateľa a druhý cieľ jeho cesty. Podľa adresy užívateľa je navyše možné vyhľadané trasy spájať a zisťovať zvyky konkrétnych ľudí, v niektorých krajinách vrátane Slovenska je z adresy napríklad domu možné vyhľadať meno majiteľa. Navyše skracovač goo.gl umožňuje zistiť aj čas vytvorenia skráteného odkazu. Experti problém nahlásili Google 15. septembra, spoločnosť ho odstránila 21. septembra prechodom na URL s 11 až 12 identifikačnými znakmi a zároveň sťažila masové prehľadávanie skrátených URL. Podobné problémy experti objavili aj u máp Bing Maps, MapQuest a Yahoo! Maps, ktoré všetky používajú službu Bit.ly na vlastnej doméne. U prvých dvoch našli desaťtisíce trás, pričom pri prehľadaní viac URL by ich samozrejme našli úmerne viac. OdporúčaniaAutori štúdie uvádzajú odporúčania len pre prevádzkovateľov služieb, medzi ktoré samozrejme patrí najmä predĺženie identifikačnej časti URL na ideálne aspoň 10 znakov respektíve používanie vlastných skracovačov s dlhšími URL.Služby by mali tiež podľa nich upozorňovať na riziká vyplývajúce z použitia skracovačov URL. Adekvátnym odporúčaním pre koncových užívateľov je ale samozrejme uvedomovať si riziká skracovačov, pristupovať k skracovaným URL podľa parametrov skracovača ako k potenciálne verejne prezradeným URL a vôbec tak nepoužívať skracovanie pre výrazne citlivé URL a zvážiť ich používanie pre URL prezrádzajúce citlivé informácie aj v menšej miere. Závery svojej práce prezentuje Šmatikov v tomto článku, detaily je možné nájsť v detailnej štúdii (PDF). 
Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
