facebook-hacking blev lige lettere…

Ikke at det var umuligt før, men facebook har blot lige gjort det endnu lettere at hacke folks chat-samtaler med deres seneste implementering af XMPP-klienten.

De har ellers lovet denne implementering i flere år, så man skulle tro at de havde haft tid til at forberede sig… men nej.

Det har længe været diskuteret hvor disse “chat-history”-filer blev opbevaret, men hvis man ved hvad man leder efter, så er det en smal sag at finde dem – endog med minimum indsats. (og nej – jeg laver ikke en vejledning på det)

Allerførst skal vi nok lige pointere at der ER forskel på hacking og cracking, og at Hackere er The Good Guys, og vil du hacke noget for at se om det virker, er det nok en god idé at advare dit offer først, eller som minimum bede om tilladelse til at forsøge at hacke deres samtaler mv. Alt dette er en moralsk beslutning, som jeg vil lade være op til den enkelte læser, og da jeg ikke laver en vejledning på hvordan du gør, så kan jeg vist ikke beskyldes for at opfordre til ting og sager, men blot få skyld for at påpege visse flossede kanter i systemerne.

Folk der eksempelvis tror at det er nok at “skjule” sig for andre, eller blokere visse “venner” eller facebookbrugere må så også se sig snydt, for kan du ikke hacke deres facebook-account (hvilket jo i sig selv heller ikke er umuligt), så hacker du da bare deres chat istedet… no biggy…

Det blev dog en lille smule sværere en overgang at hacke selve chatten, men så gaflede man jo bare folks “chat-history” istedet, og så var det jo næsten ligemeget om du kunne følge med i samtalen live.

Nuvel… I forbindelse med facebooks seneste implementeringer åbnede man endeligt op for XMPP-klienter (efter at have lovet det i årevis), men hvad opdager man? Chatten  bruger ikke SSL kryptering modsat nærmest hvilken som helst anden server “derude” på nettet. Endnu bedre: man har besluttet at bruge Digest-MD5, hvilket, bortset fra at være noget pangel med et hav af kompitablitetesproblemer, også har fået en tommel nedad af IETF helt tilbage i januar 2009, fordi den netop kan hackes… så nu har facebook blot åbnet et ENDNU større hul i deres allerede tvivlsomme sikkerhed.

Der er mange eksempler på HVORFOR IETF gav Digest-MD5 en tommel nedad, men her er et af de bedre eksempler:

The cryptographic primitives in DIGEST-MD5 are not up to today’s standards, in particular:

A. The MD5 hash is sufficiently weak to make a brute force
attack on DIGEST-MD5 easy with common hardware.

B. Using the RC4 algorithm for the security layer without
discarding the initial key stream output is prone to attack.

Så drenge: Så er det bare igang med at lege…

Advertisements
facebook-hacking blev lige lettere…