Atak na CardSpace

hmmm .. nie wiem dlaczego ale spodziewalem sie tej informacji tutaj i nawet spodziewalem sie jaki komentarz bede mogl napisac ... prorok jakis czy cus ....

Pkt #1 CardSpace nie chroni uzytkownikow Visty ... komponent selectora jest dostepny jakby co tez na XP, Linux, FreeBSD i MacOS X. Lekcja do odrobienia.

PKt #2 Podstawowym zadaniem CardSpace nie jest udostepnianie danych osobowych a zapewnienie bezpiecznej metody uwierzytelnienia i mozliwosci zarzadzania informacja, ktora jest przekazywana do RP czyli apliakcji\uslug korzystajacych z tych danych. Ma to umozliwic uzytkownikom kontrole nad tym kto jakie infomracje o nich przechowuje. Dodatkowo pojawia sie jeszcze zagadnienie managed cards i wtedy mamy jeszcze leement poswiadczenia tych danych etc.

Pkt#3 Wyobrazmy sobie ze jutro oglosze ze zlamalem bezpieczenstwo aplikacji TechIT. Wymagane do przeprowadzenia tego ataku jest:
- aby administrator TechIT w pelni ze mna wspoldziala
- uruchomil przeslny przezemnie program na uprawnieniach administratora w systemie
- po wywaleniu sie programu zmodyfikowal system tak, aby program poprawnie sie uruchomil i zrobil swoje ...
... bo taka jest wlasnie sytuacja z tym atakiem na CardSpace:
- najpierw trzeba zatruc "cache" DNS klienta
- potem uzytkownik musi zainstalowac przeslny mu certyfikat "root CA" (w zasadzie to Ci studenci proponuja wylaczenie mechanizmow ochrony przegladarki w tym zakresie zeby atak sie powiodl)
- zgodzic sie na odwiedzenie witryny o ktorej przegladarka krzyczy ze jest niazaufana
- i wszystko musi byc na uprawnieniach administratora.

Tak że jeżeli uzytkownik to wszystko zrobi ... to tak, mozna pobrac jego token.

Pisal o tym 4 dni temu Kim Cameron (ktory jak wiadomo nie jest oczywiscie obiektywny bo pracuje w MS):
http://www.identityblog.com/?p=987

Przygotowal nawet video jak nalezy skonfigurowac komputer zeby mozna bylo przeprowadzic ten atak:
http://www.identityblog.com/?p=988

Pisal tez o tym Jackson Shaw:
http://jacksonshaw.blogspot.com/2008/05/students-d...

Jezeli komus te naziwska nic nie mowia to tylko powiem ze to akurat sa uznane autorytety w dzidzinie zarzadzania tożsamością.

Tak ze jakkolwiek studenci udowonili ze da sie to zrobic to udowodnili to w tak malo realstycznym scenariuszu ze wydaje mi sie ze pisanie o ataku jest malo uzasadnione.

ALe jak to napisal Jackson - dobrze ze ludzie probuja, to tylko poprawi jakos technologii. Jak zreszta zauwazyl Kim jeden z pomyslow jest wart rozwazenia. A ze to on stoi za Identity metasystem w MS mozna zalozyc ze pomysl trafil do odpowiedniej osoby.

O atakach, nawet najbardziej hipotetycznych zawsze warto pisac. Nie po to, zeby straszyc, ale zeby uzmyslowic ze nawet mechanizmy uwazane za nas przez najbezpieczeniejsze, wcale takimi nie sa.

W tym przypadku, zgadzam sie calkowicie, uzyte metody moglyby rownie dobrze poslyzyc do atakow na inne mechanizmy, np. dostep do konta w banku. W tekscie zabraklo informacji, ze ow atak, to przyslowiowe "z igły widły." Jakkolwiek, obowiazek czysto kronikarskiego odnotowania takiego zdarzenia wydaje sie byc zasadny...

Ja nie mówię że nie, warto jednak poczytać dokładniej o co chodzi i przedstawić całość zagadnienia ... większość serwisów po prostu kopiuje oryginalny "nius" i nie sprawdza co na to druga strona, tudzież nie zastanawia się o co w tym chodzi.