Gadu-Gadu – hasła również nie są bezpieczne!
Wczorajszego dnia pojawiła się najnowsza wersja programu ggsniff, zresztą o którym pisaliśmy nie tak dawno. Jak już wiadomo, ggsniff jest snifferem umożliwiającym przechwytywanie komunikatow Gadu-Gadu, zaś nowa wersja umożliwia przechwytywanie haseł.
Warto zaznaczyć, że o ile komunikaty Gadu-Gadu mogą być szyfrowane przez nakładki na klienta, jak np. GaduCrypt, to na przesyłanie haseł użytkownik nie ma żadnego wpływu. Co gorsza, użytkowicy Gadu-Gadu nie mogą mieć o tym pojecia, ponieważ dokumentacja dostępna w serwisie http://www.gadu-gadu.pl twierdzi, że hasło nigdy nie jest przesyłane przez sieć w postaci jawnej. Jest to oczywiscie nieprawda.
Wiecej informacji na temat ggsniff’a znajduje sie na stronie domowej projektu, zaś stąd można pobrać najnowszą wersję sniffera.
Na koniec chciałbym przytoczyć jeszcze kilka uwag od samego autora sniffera:
Prawda, półprawda i kłamstwo
Nie mam nic przeciwko aplikacjom, które nie szyfrują przesyłanych danych. To kwestia umowy między autorem programu a użytkownikiem – i wszystko jest w porządku, pod warunkiem, że użytkownik o tym wie. Nawet przeglądarki WWW ostrzegają przed wysłaniem czegokolwiek w sieć, jeśli nie jest to szyfrowane. A co wie użytkownik GG? Zajrzyjmy do dokumentacji…
Program Gadu-Gadu zapewnia wysokie bezpieczeństwo sieciowe – posiada opcję która uniemożliwia komunikację bezpośrednio pomiędzy komputerami (w zamian tylko za pośrednictwem serwera). W przypadku używania połączeń bezpośrendich, są zachowane szczególne metody zabezpieczeń — kliknij!
Prawda – jeśli nie chcemy przesyłać plików, GG nie otwiera żadnych portów. Takie jest ustawienie domyślne – to dobrze. Nie wiadomo, jakie szczególne zabezpieczenia są stosowane, gdy jednak chcemy korzystać z połączeń bezpośrednich, bo po kliknięciu nic się o nich nie można dowiedzieć 🙁
Niestety, samo nie otwieranie portów jeszcze nie zapewnia nam „wysokiego bezpieczeństwa sieciowego”. Komunikacja klienta z serwerem nie jest zabezpieczona w żaden sposób, wszystkie operacje wykonywane przez klienta mogą być podglądane przez osoby trzecie, a także możliwe jest podszywanie się pod innych użytkowników (pod serwer także).
Konto użytkownika jest zabezpieczone hasłem. Dzięki temu nikt inny nie może „podszywać” się pod innego użytkownika. Hasło nie jest przesyłane podczas inicjowania sesji programu (logowania) jawnie, ale zawsze jest przesyłane do serwera zaszyfrowane.
Prawda, akurat podczas logowania hasło jest szyfrowane. Nieprawda, nie zawsze hasło jest szyfrowane – podczas wielu operacji (sprawdzenie/zmiana swoich danych publicznych, zmiana hasła, import/export listy kontaktów…) hasło jest przesyłane do serwera w postaci tekstowej! No to już woła o pomstę do nieba… Chyba tylko marketingowcy mogli to nazwać „wysokim bezpieczeństwem sieciowym”!
Co gorsza, użytkownik nie ma żadnej możliwości, żeby temu zaradzić. Same komunikaty można szyfrować, ale z przesyłaniem haseł i list kontaktów trzeba się (przynajmniej na razie) pogodzić.
Wielu użytkowników GG ma dostęp do Internetu przez sieci osiedlowe, akademikowe, z uczelni, pracy lub kawiarenki. Wszędzie tam może się czaić jakiś ciekawski, który ukradnie użytkownikowi hasło lub doniesie jego żonie o sieciowym flircie 🙂 Ktoś może powiedzieć, że nie wysyła przez GG nic tajnego i nie ma potrzeby, żeby to szyfrować. Owszem. Może powiedzieć. Ale wczesniej musi wiedzieć, że jego komunikaty, hasło czy lista znajomych mogą zostać przechwycone. Że ktoś obcy może sie pod niego podszywać. I dopiero wtedy może _świadomie_ podjąć decyzję, że zgadza się na takie ryzyko. A na razie większość użytkowników nie ma o tym pojęcia, bo przecież GG „zapewnia wysokie bezpieczeństwo sieciowe”.
Program Gadu-Gadu do komunikacji nie otwiera u siebie żadnych portów. Dzięki temu jego użytkowanie jest całkowicie bezpieczne. Cała komunikacja odbywa się za pośrednictwem serwera messagingu, z którym program komunikuje się poprzez port TCP 8074.
Administrator sieci musi tak ustawić proxy/firewall, aby przepuszać ruch sieciowy przez ten port na adresy IP: 217.17.41.82 i 217.17.41.84. Jeżeli polityka bezpieczeństwa wyklucza bezpośrednią komunikację użytkowników przez taki port, należy ustawić proxy aby udostępniał protokół CONNECT z portem 8074.
Nieprawda, komunikacja odbywa się również przez porty 80 i (jeśli nie można sie podłączyć pod 8074) 443. Oczywiście, połączeń na porty 80 i 443 raczej się nie blokuje, ale to jeszcze nie powód, żeby o tym nie wspominać. Lista adresów IP również jest niekompletna (zapewne nie miał kto zaktualizować tej informacji). Serwery GG siedzą sobie po całej podsieci 217.17.41.80/29.
Zobacz także:
– Sniffer Gadu-Gadu oraz Gadu Crypt
– Sniffer Gadu-Gadu – opis instalacji