image

Gratis hackertool maakt webhacking kinderspel

dinsdag 7 oktober 2008, 17:03 door Redactie, 7 reacties

Mensen zonder enige kennis van hacking kunnen dankzij een gratis hackertool nu vrij eenvoudig zelf web-applicaties en hun gebruikers aanvallen. The Middler automatiseert aanvallen die voorheen de nodige tijd en vaardigheden vereisten. Zo kan de tool de sessie van een gebruiker klonen, ook al is die via HTTPS geauthenticeerd. Veel sites laten na het inloggen het verkeer gewoon via HTTP verlopen. Verder kan The Middler HTTPS links door HTTP links vervangen, voordat het slachtoffer die ontvangt, maar worden de gebruikersgegevens wel via SSL naar de server gestuurd. Op deze manier zijn online banking sessies aan te vallen.

Slachtoffers van de tool worden daarnaast automatisch doorgestuurd naar Metasploit client-side exploits en zijn de privégegevens van het slachtoffer in een webapplicatie automatisch, snel en zonder input van de aanvaller te veranderen. Doordat de tool overal tussen zit kan men ook software installaties en updates van een backdoor voorzien. Zo is het mogelijk om Javascript aan browser sessies toe te voegen en CSRF-aanvallen uit te voeren.

De opensource tool is het werk van Jay Beale. Volgens de ontwikkelaar beseffen veel bedrijven niet dat alleen het versleutelen van het wachtwoord gebruikers kwetsbaar voor man-in-the-middle aanvallen maakt. In het geval van LinkedIn logt de gebruiker in via HTTPS, maar daarna wordt men doorgestuurd naar een HTTP pagina. De aanvaller kan via de tool de contactgegevens en de inbox van het slachtoffer benaderen of zichzelf aan zijn of haar netwerk toevoegen.

Beale demonstreert vandaag de mogelijkheden van zijn tool tijdens de SecTor beveiligingsconferentie. "Onze nieuwe tool, The Middler, automatiseert deze aanvallen waardoor het aanvallen van actieve gebruikers op je netwerk zeer eenvoudig en schaalbaar is. Het heeft een interactieve mode, maar ook een 'fire-and-forget' mode die deze aanvallen automatisch, zonder enige interactie, uitvoert."

Reacties (7)
07-10-2008, 18:12 door SirDice
Enige kanttekening.. Het werkt alleen op een shared (W)LAN..

Oh.. Enne..De web-applicaties zelf worden niet aangevallen.. Wel de gebruikers van die applicaties..

JAMITM.. Just Another Man In The Middle...
07-10-2008, 19:25 door Eerde
De gebruikelijke wc-eend FUD met de nadruk op de F !
07-10-2008, 21:50 door prikkebeen
Gelukkig is het gratis.
07-10-2008, 22:05 door Lamaar
Door EerdeDe gebruikelijke wc-eend FUD met de nadruk op de F !
O ja? Toon het eens aan? Of reageer je als door een wesp gestoken omdat je doorlopende ophemelen van de zogenaamde veiligheid van open bron nou de mist in gaat?
08-10-2008, 00:35 door prikkebeen
Door Lamaar
Door EerdeDe gebruikelijke wc-eend FUD met de nadruk op de F !
O ja? Toon het eens aan? Of reageer je als door een wesp gestoken omdat je doorlopende ophemelen van de zogenaamde veiligheid van open bron nou de mist in gaat?

Het gaat hier over een open source tool, niet over de mogelijke onveiligheid van open source software.
Maar ach, lamaar..
08-10-2008, 07:15 door Anoniem
"Op deze manier zijn online banking sessies aan te vallen"
Wat zijn dat ! zijn er nog banken?.
Wat is beter, je laten beroven door een goede hacker of een slechte bankier.

Rakker
08-10-2008, 09:08 door SirDice
Even goed mag Eerde best even aantonen waarom het FUD zou zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.