image

'DNS LinkedIn gekaapt, cookies onversleuteld verstuurd' *update*

donderdag 20 juni 2013, 09:48 door Redactie, 7 reacties

Door nog onbekende redenen zijn de DNS-gegevens van LinkedIn.com aangepast, waardoor gebruikers de website niet meer konden bezoeken, maar volgens Bryan Berg van App.net was de potentiële impact voor gebruikers veel groter. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt domeinnamen naar IP-adressen.

Wie Linkedin.com in de adresbalk van zijn browser intikt, wordt vervolgens naar de Linkedin-webserver doorgestuurd. De aangepaste DNS-instellingen van LinkedIn.com zorgden er echter voor dat gebruikers naar een andere server van een andere partij werden doorgestuurd.

Cookies
Volgens Berg is de DNS van de zakelijke sociale netwerksite gekaapt geweest. Vervolgens werden gebruikers doorgestuurd naar een netwerk dat door confluence-networks.com werd gehost. "En zij vereisen geen SSL, dus als je [LinkedIn] probeerde te bezoeken, dan verstuurde je browser je sessiecookies onversleuteld", laat Berg weten.

Een aanvaller die deze sessiecookie bemachtigt zou op het account van een ander kunnen inloggen. LinkedIn laat via Twitter weten dat het met een DNS-probleem te maken heeft gehad en de website inmiddels voor gebruikers weer toegankelijk wordt. Verdere details over wat zich heeft voorgedaan ontbreken echter.

Update 12:44
LinkedIn laat in een verklaring tegenover Security.NL weten: "Vanmorgen was LinkedIn.com gedurende een korte tijd niet bereikbaar voor een groot deel van onze leden. Het bedrijf dat ons domein beheert liet ons weten dat dit door een fout van hun kant werd veroorzaakt. Ons team heeft het probleem snel kunnen verhelpen en de site werkt weer zo goed als naar behoren."

Reacties (7)
20-06-2013, 10:31 door Anoniem
Waarom stuurde Linkedin geen Strict-Transport-Security header voor hun ssl server dan?
20-06-2013, 10:46 door Anoniem
Allemachtig, wat een theoretisch geneuzel.
20-06-2013, 11:27 door Anoniem
Jay, je inlog verzoek is onversleuteld verstuurd naar een 'verkeerde' server... zeg maar dag tegen je account. Zou zo snel mogelijk het wachtwoord aanpassen (mocht je dat nog niet gedaan hebben).
20-06-2013, 14:27 door Anoniem
Met sessiecookies worden gewoonlijk cookies bedoeld die niet bewaard worden als de browser wordt afgesloten. Zouden browsers zo onverstandig gebouwd zijn dat ze opnieuw een DNS-lookup doen voor een site die in de lopende browser-sessie al eerder benaderd is en sessiecookies heeft geplaatst?

Maar nee, Bryan Berg heeft het over "long-lived session cookies", aangelogd blijven via een persistente cookie dus. Dat ze die optie bieden is onderdeel van het opgetreden probleem, wat voor fout het bedrijf dat het domein beheert ook heeft gemaakt. Ze scheppen daarmee zelf de situatie dat een cookie via een DNS-verandering naar een andere server gestuurd kan worden.

Door Anoniem: Waarom stuurde Linkedin geen Strict-Transport-Security header voor hun ssl server dan?
Als ik een gokje mag wagen: omdat IE het niet ondersteunt.
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security#Browser_Support
20-06-2013, 14:28 door Anoniem
Er is een simpele oplossing tegen het misbruik van zulke authenticatie (session) cookies: vergelijk het IP adres van de laatste pageview met dat van nu, en als het niet klopt -> opnieuw inloggen. Toegegeven, dat is niet waterdicht want veel apparaten zitten achter 1 IP adres verstopt (lees: mobiele apparaten via GPRS/UMTS, bedrijfsnetwerken e.d.) en het is ook onhandig als je IP adres onbedoeld wisselt, maar het is beter dan niks.
20-06-2013, 17:56 door 0101
Door Anoniem: Jay, je inlog verzoek is onversleuteld verstuurd naar een 'verkeerde' server... zeg maar dag tegen je account. Zou zo snel mogelijk het wachtwoord aanpassen (mocht je dat nog niet gedaan hebben).
Bij elke website die beveiliging ook maar een heel klein beetje serieus neemt bevatten de cookies geen logingegevens maar een unieke sessie-identifier. Op de server wordt die identifier vervolgens aan een account gekoppeld.
21-06-2013, 12:50 door Anoniem
Weinig aan de hand lijkt mij.

http://nakedsecurity.sophos.com/2013/06/20/the-linkedin-hack-that-wasnt/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.