Evilginx2 Fortsetzung
5 years ago in #deutsch by sempervideo (59)
$0.48
- Past Payouts $0.48
- - Author $0.41
- - Curators $0.07
356 votes
- huch: $0.09
- fw206: $0.02
- teach-it: $0.02
- flugschwein: $0.01
- lauchmelder: $0.01
- cloudlynx: $0.01
- schlees: $0.01
- snarf: $0.01
- eisenbart: $0.01
- deepdog: $0.01
- melvin7: $0.01
- donnerstein: $0.01
- serylt: $0.01
- eitja: $0.01
- abwasserrohr: $0.01
- kkndworld: $0.01
- condeas: $0.01
- carolinmatthie: $0.01
- taldor: $0.01
- gammastern: $0.01
- and 336 more
Die Lösung "Nicht auf 'Angemeldet bleiben' klicken" ist auch nur mittelmäßig – die Phishing-Seite die evilginx präsentiert das Häkchen für dich ja trotzdem setzen – als Mittelmann hat man da ziemlich viel Macht.
Nur wenn man auf Abmelden klickt wird der Cookie echt entwertet.
Session Hijacking ist so ein Problem das HTTP als Stateless-Protokoll schon immer hatte, und auch immer haben wird.
Mit Verschlüsselung kann man dagegen arbeiten, was den Mensch aber mehr zum Fehlerfaktor macht – Phishing, andere Sicherheitslücken, Unachtsamkeit, etc.
Wäre der Ablauf:
Opfer klickt auf Phishing-Seite, gibt Login, PW, 2FA-Code ein, liest 5 Minuten auf Twitter, und meldet sich ab.
Dann wäre es bei gezielten Angriffen, wenn der Angreifer bereit steht sowieso schon zu spät. 5 Minuten aktive Session reicht sich anzumelden, 2FA zu deaktivieren, PW zu ändern, etc.
Aber wie wir aus dem 0rbit-Fall mit Twitter mal wieder gesehen haben: Social Engineering bringt immer noch am weitesten:
"Ja ich bin [berühmte Person] – Mein Handy ist kaputt, können Sie die 2FA deaktivieren?"
"Okay, einmal ihr Geburtsdatum?"
Google: Geburtstag von [berühmte Person]
"Alles klar, ist deaktiviert."
Ich weis nicht ob das gut oder unheimlich finden soll... erst mal überall "angemeldet bleiben" abgeschaltet xD
Cookie geht doch nur wenn User-Agent und IP noch gleich ist, als wenn Cookie/token generiert wurde dachte ich, sonst sollte es login/2FA verlangen. Der Attacker ist normallerweise nicht auf der gleichen Kiste.
Konzeptuell ist es den Cookies egal, von welchem User-Agent, und welcher IP-Adresse sie gesendet werden. Da muss schon in der Logik der Webseite gespeichert, und danach überprüft werden: Ist die IP noch die gleiche.
Einen neuen Login zu fordern wenn Cookie und das IP/User-Agent-Tupel nicht mehr zusammen passen wäre sowieso blöd. Jedes mal, wenn man den Browser aktualisiert muss man sich neu anmelden, also so ein mal im Monat, und die IP ändert sich bei Heim-Anschlüssen auch etwa täglich, also täglich neuer Login.
Edit: User-Agent kann man davon abgesehen natürlich abgreifen, und senden was man lustig findet, das ist nur ein HTTP-Header, also sind auch Logiken wie:
Wenn sowohl User-Agent als auch IP nicht zum Cookie-Tupel passen: Neuer Login
Unnütz, den nur die IP lässt sich über TCP nicht fälschen. Cookies nur von der IP abhängig machen heißt aber etwa täglich neue Logins, und das ist nicht praktisch genug, also lieber weniger sicher.