会員制のホームページにアクセスするには、当然ながらIDとパスワードの入力が必要なのですが、実際に入力されたパスワードはどのように飛んで行くのでしょうか。
みなさんも聞いたことがあるかもしれませんが、ハッカーに中身を読まれないようにSSLという暗号が使われることが多いのですが、SSLでないサイトもあります。
実際にログイン時に送信されているデータを覗き見するのに、とても便利なソフトがあります。
試用版で充分楽しめますから、是非、自分で実験してみてください。
ソフト名: WebTaster
ダウンロード: http://webtaster.com/
先に紹介したウエブテイスターで、いるいるなページに送られるパスワードを覗いてみることにします。
まずは、私が愛用しているYAHOO!メールです。
Yahoo! JAPAN ID とパスワードを入力したときに送られるデータはこんな内容。
.
<データ>
ct=
&.albatross=dD1yWEJBT0Imc2s9RDNOb29XWl9ZdjFcc0lnSlFfd1VKZ0FUalRBLQ%3D%3D
&.tries=1
&.src=www
&.md5=
&.hash=
&.js=
&.last=
&promo=
&.intl=jp
&.bypass=
&.partner=
&.u=8fgpjqt6005fb
&.v=0
&.challenge=eWaaO.m6OlNHlOp3m8q5YN34fT6L
&.yplus=
&.emailCode=
&pkg=
&stepid=
&.ev=
&hasMsgr=0
&.chkP=Y
&.done=http%3A%2F%2Fwww.yahoo.co.jp
&.pd=
&.protoctl=
&login=p-sec_maneger
&passwd=12345678
パスワードがハッキリと飛んでいるのがわかります。
SSLで暗号化されているので、ネットワーク上では盗まれることは、まずありませんが、PCの中にスパイウエアが入り込んでいると、passwdというキーワードで、いとも簡単に、パスワードを盗みことができるわけです。
その他にも、よくわからない面白いデータがたくさん送信されていることがわかります。
とても興味深い内容です。
今日は、WebTasterを使って、GMailのログインパスワードの送られ方を覗いてみます。
GMailのパスワードも当然ながらSSLを使ってPOSTメソッドで送信されています。
ltmpl=default
&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fhl%3Dja%26tab%3Dwm
&service=mail
&rm=false
&dsh=8594052903578602187
<mpl=default
&hl=ja
<mpl=default
&scc=1
&timeStmp=
&secTok=
&GALX=Pfr7s4Hktpk
&Email=pat@example.com
&Passwd=orenopasswd
&PersistentCookie=yes
&rmShown=1
&signIn=%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3
&asts=
GMailの場合も、SSLの中身には、そのままのパスワードが入っていることが、誰にでもわかります。
いつもながら思いますが、なぜ、パラメータの名前を露骨にPasswdにしてしまうのでしょう。
人が見るためのものではないので、もう少し工夫することもできるのではないでしょうか。
今日は、最近日本でもブームのFacebookにログインするときに送信されているパスワードの情報を、WebTasterで覗き見してみます。
そろそろ、ハッシュ値が送られたり、パスワードだと簡単には分からないように送信しているサイトに出会うかなと期待してやってみます。
結果は、
charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84
&lsd=XT0rm
&locale=ja_JP
&email=p-sec
&pass=12345678
&persistent=1
&default_persistent=1
&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84
&lsd=XT0rm
パスワードとは、なっていないものの、"pass"となっているので、すぐに見つけられます。
メールついでに、今日は、WebTasterを使って、Hotmailのログインパスワードの送信を観察してみます。
login=p-sec@hotmail.com
&passwd=12345678
&type=11
&LoginOptions=1
&NewUser=1
&MEST=
&PPSX=Pas
&PPFT=CTPtBd8EKJnw4EeYpeKTBrQpyb7Fk9WS7z53hNyguwBQW8oCVJnDzXqEDfhb1jUZcWn2%21gLjiO0Z2%215qmirScGJkc67cqS8IIOIIgX60M8T*d8xWCaCPIXE0rFiemwFJ6MzJDikthfWK*p%21UK7o6W3KpX8aIs748LLrbcfrSLMdvUAIOzMZearsoxaEiFeSrwDnK4Kx5J2nVl*3kI0baao9sHsHC
&idsbho=1
&PwdPad=
&sso=
&i1=1
&i2=1
&i3=82922
&i4=
&i12=1
残念、Hotmailもパラメータは、passwdになってます。
パラメータ&PPFTのこの長いデータは、いったい何なんでしょうか。
かなり気になります。
今日は、最近バブルが訪れてると噂の、アメーバ・ピグでおなじみ、アメーバへのログインをWebTasterで覗いてみます。
amebaId=psec-net
&password=25d55ad283aa400af464c76d713c07ad
&saveFlg=1
&Submit.x=48
&Submit.y=32
おおお、やっと出会いました。
パスワードとして飛んでいる値が、生値ではなくハッシュされています。
いままで、観察してきたどこのサイトも、パスワードの生値がとんでましたが、
さすが、アメーバ。
これからの、ぱすわーど送信は、こんな形が望ましいのではないでしょうか。
昨日、WebTasterでのアメーバの送信パスワードを覗き見たら、平文ではなくハッシュされていたので、思わず、
さすがアメーバ
などと書いてしまいましたが、その後、よく見ていたらとんでもないことが分かりました。
な、なんと、アメーバのログインはSSLではなくて平文です。
これは、多分、ユーザ数の多いアメーバがサーバ負荷を下げるために選んだ方法なのでしょう。
デフォルトで通信は暗号化されていません。
つまり、
amebaId=psec-net
&password=25d55ad283aa400af464c76d713c07ad
&saveFlg=1
&Submit.x=48
&Submit.y=32
この情報はは、通信系路で簡単に収集することができてしまいます。
さらに、このパスワードのハッシュ値ですが、単純なMD5というハッシュ方式であることがわかりました。
ちなみに上記のパスワードは「12345678」です。
MD5計算機でハッシュ値を計算してみると、同じになることがわかります。
あなたのログインパスワードもWebTasterで覗き見て、テストしてみてはいかかでしょうか。
アメーバののログインでは、デフォルトは平文ですが、選択すればSSL(暗号通信)も利用できます。
意識してSSLを使うのが安全でしょう。
アメーバのログインパスワードについて、調査の結果、暗号化通信(SSL)は使われず、パスワード自体をMD5という方式でハッシュ化して送信していることが分かりました。
今までWebTasterで覗き見してきたほとんどのパスワードは、SSLという暗号化通信の中を、そのままの形で送信されていました。
※通常はSSLのデータの中身を見ることはできませんが、WebTasterでは、SSLに暗号化される直前にフックしていますので、SSL暗号の中のデータを見たり、変更/改竄することができます。
それでは、
この2つは、セキュリティ面からみてどう違うのでしょうか。
悪意のあるハッカーが、通信を盗聴していたとします。
その場合、SSLとそうでない場合に盗聴できるデータはこのようになっています。
SSLの場合は、いったい中身が何なのか、パスワードが含まれているかどうかすら全くわかりません。
これに対して、アメーバ方式の場合には、明らかにIDとパスワードが含まれていることを見てとれます。パスワードはMD5によりハッシュ化(暗号化)されているので、元のパスワードが何だったかは分かりませんが、
password=25d55ad283aa400af464c76d713c07ad
これがパスワードであることは明白で、これを解析するという次のフェーズに移行することができます。
実際に、「john the ripper」というパスワード解析ソフトにかけてみると、一瞬のうちに解析され、この元のパスワードが12345678だと判明しました。
セキュリティ面から見たときに、SSLの方が断然安全であることが分かります。
SSLでない通信の場合は、安易なパスワードをつけていると、パスワードを盗まれてしまいます。
SSLのような通信の暗号化と、アメーバのようなパスワードの暗号化を比較したとき、SSLの暗号化の方が安全である「もうひとつのくだらない理由」があります。
SSLと暗号化されていないWebの通信は、それぞれHTTPS、HTTPと呼ばれています。それぞれは、TCP/IPのポート番号が違います。
HTTPSのパケットは、集めても中身が見えないので面白くありません。
ですから、ハッカーはそもそも
HTTPS(SSL)のデータなど、見ようとしない!
のです。
アメーバのデフォルト状態は、ログインがSSL(暗号化通信)ではなく、パスワード自体がMD5でハッシュ化(暗号化)されて送信されていることは説明しました。
先に説明したように、ネットワークを盗聴されていると、アメーバのIDと暗号化されたパスワードは、簡単に見えてしまいます。MD5は十分に強い暗号方式なので、パスワードが強いものであれば、パスワードが簡単に解読されてしまうことはありませんが....
実は、SSLでないとかなり危険な状態になります。
パスワードが解読できなくても、暗号化パスワードがわかると、それを盗んだ人がログインできてしまうのです。これをセッションハイジャックと言いますが、本当にできるかどうかを自分のアカウントで実験してみましょう。
ここで、問題となるのは、パスワードが盗まれなくても、暗号化パスワードが盗まれるだけで他人にログインされてしまうということです。
<ハイジャック準備>(盗聴)
ここで、盗聴できたログインパケットがこれです
amebaId=psec-net&password=6eea9b7ef19179a06954edd0f6c05ceb
この盗聴したアメーバIDと、暗号化パスワードを使って、別のPCからログインできれば、ハイジャック成功です。
通常のインターネットエクスプローラなどでは、送信されるログインデータを書き換える(改竄)することができませんが、ウェブアプリ評価用のWebTasterを使うと、送信データを簡単に改竄テストすることができますので、ここでは、WebTasterを使ってセッションハイジャックを実行してみます。
<ハイジャック実行>(改竄)
結果は
見事にセッションハイジャックに成功しました。
このように、暗号化パスワードが他人に盗まれると、他人にログインされてしまうという危険性があるのです。無線LANを多用する今のパソコン環境では、どこで誰にパケットを盗聴されていてもおかしくありません。
アメーバには、デフォルトではありませんがSSLログインが用意されていますので、必ずそちらを使うようにしましょう。
ご注意:
今回は、あくまでも実験として、自分のアカウントを使ってテストを行いました。実際に他人のアカウントを使ってログインすると不正アクセス禁止法違反で逮捕されます。
