Zašto hakeri toliko vole kolačiće

Kaspersky eksperti objašnjavaju kako sajber napadači presreću kolačiće, koja je uloga identifikatora sesije i kako da sprečite da vaši kolačići pređu na „tamnu stranu“.

 

Kada otvorite bilo koji sajt prvo što ćete verovatno videti jeste iskačuće obaveštenje o korišćenju kolačića. Obično imate opciju da prihvatite sve kolačiće, prihvatite samo neophodne ili ih u potpunosti odbijete. Bez obzira na izbor, verovatno nećete primetiti nikakvu razliku, a obaveštenje nestaje sa ekrana u svakom slučaju.

Zaronimo malo dublje u teglu sa kolačićima: čemu kolačići služe, koje vrste postoje, kako ih napadači mogu presresti, koji su rizici i kako da ostanete bezbedni.

Šta su kolačići?

Kada posetite veb-sajt, on šalje kolačić (cookie) vašem pregledaču. To je mala tekstualna datoteka koja sadrži podatke o vama, vašem sistemu i akcijama koje ste preduzeli na sajtu. Pregledač čuva te podatke na vašem uređaju i vraća ih serveru svaki put kada se vratite na taj sajt. Ovo pojednostavljuje interakciju sa sajtom: ne morate se prijavljivati na svakoj stranici; sajtovi pamte vaša podešavanja prikaza; onlajn prodavnice čuvaju artikle u korpi; striming servisi znaju na kojoj epizodi ste stali — prednosti su beskonačne.

Konačići mogu čuvati vaše korisničko ime, lozinku, sigurnosne tokene, broj telefona, kućnu adresu, bankovne podatke i identifikator sesije (Session ID).

Identifikator sesije je jedinstveni kod dodeljen svakom korisniku kada se prijavi na veb-sajt. Ako treća strana uspe da presretne ovaj kod, veb server će je videti kao legitimnog korisnika. Evo jednostavne analogije: zamislite da u kancelariju ulazite pomoću elektronske kartice sa jedinstvenim kodom. Ako vam kartica bude ukradena, lopov — bez obzira da li liči na vas ili ne — može otvoriti svaka vrata do kojih vi imate pristup, bez ikakvih problema. U međuvremenu, sigurnosni sistem će verovati da ste to vi koji ulazite. Zvuči kao scena iz kriminalističke serije, zar ne? Isto se dešava i online: ako haker ukrade kolačić sa vašim identifikatorom sesije, može se prijaviti na sajt na koji ste vi već prijavljeni, u vaše ime, bez potrebe da unosi korisničko ime i lozinku; ponekad može čak i da zaobiđe dvofaktorsku autentifikaciju.

Tako su hakeri 2023. godine ukrali sva tri YouTube kanala poznatog tech blogera Linus Sebastiana – “Linus Tech Tips” i još dva kanala Linus Media Group-a sa desetinama miliona pratilaca.

Koje vrste kolačića postoje?

Svi kolačići se mogu klasifikovati prema više karakteristika.

Prema vremenu čuvanja:

• Privremeni ili kolačići sesije. Koriste se samo dok ste na veb-sajtu. Brišu se čim ga napustite. Neophodni su za stvari poput održavanja prijave dok se krećete sa strane na stranu, ili pamćenja izabranog jezika i regiona.
• Trajni kolačići. Ostaju na vašem uređaju i nakon što napustite sajt. Štede vas potrebe da svaki put iznova prihvatate ili odbijate politiku kolačića. Obično traju oko godinu dana.

Moguće je da se kolačić sesije pretvori u trajni. Na primer, ako označite polje „Zapamti me“, „Sačuvaj podešavanja“ ili slično, podaci će biti sačuvani u trajnom kolačiću.

Prema izvoru:

• Kolačići prve strane. Generiše ih sam veb-sajt. Omogućavaju pravilno funkcionisanje sajta i pružaju korisnicima normalno iskustvo. Mogu se koristiti i za analitiku i marketinške svrhe.
• Kolačići treće strane. Prikupljaju ih spoljne usluge. Koriste se za prikazivanje oglasa i prikupljanje statistike oglašavanja, između ostalog. U ovu kategoriju spadaju i kolačići sa servisa za analitiku poput Google Analytics-a i društvenih mreža. Oni čuvaju vaše podatke za prijavu, što omogućava da lajkujete stranicu ili delite sadržaj na društvenim mrežama jednim klikom.

Prema važnosti:

• Neophodni (required/essential) kolačići. Podržavaju osnovne funkcionalnosti sajta, kao što je prodaja proizvoda na e-commerce platformi. U tom slučaju, svaki korisnik ima lični nalog, a neophodni kolačići čuvaju njegovo korisničko ime, lozinku i identifikator sesije.
• Opcioni kolačići. Koriste se za praćenje ponašanja korisnika i preciznije targetiranje oglasa. Većina opcionalnih kolačića pripada trećim stranama i ne utiče na vašu mogućnost da koristite sve funkcije sajta.

Prema tehnologiji čuvanja:

• Standardno se čuvaju u tekstualnim datotekama u skladištu pregledača. Kada obrišete podatke pregledača, brišu se i oni, i nakon toga sajtovi koji su ih poslali više vas ne prepoznaju.
• Postoje i dve posebne podvrste: super-kolačići (super-cookies) i obnavljajući-kolačići (ever-cookies), koji se čuvaju na nestandardne načine. Super-kolačići se ugrađuju u zaglavlja veb-sajta i skladište na nestandardnim lokacijama, čime izbegavaju brisanje funkcijom čišćenja pregledača. Trajni-kolačići se mogu obnoviti pomoću JavaScript-a čak i nakon što budu obrisani. To znači da se mogu koristiti za postojano i teško kontrolisano praćenje korisnika.

Isti kolačić može pripadati više kategorija: na primer, većina opcionalnih kolačići su oni treće strane, dok neophodni uključuju privremene koji su odgovorni za bezbednost konkretne sesije pregledanja. Za više detalja o tome kako i kada se koriste sve ove vrste kolačića možete pročitati ceo izveštaj na Kaspersky blogu – Securelist.

Kako se identifikator sesije krade kroz otmicu sesije

Kolačići koji sadrže identifikator sesije najprimamljivije su mete za hakere. Krađa identifikatora sesije poznata je i kao session hijacking, a neke od najzanimljivijih i najrasprostranjenijih metoda slede.

Presretanje sesije
Otmica sesije je moguća praćenjem internet saobraćaja između korisnika i veb-sajta. Ovaj tip napada dešava se na sajtovima koji koriste manje bezbedan HTTP protokol umesto HTTPS-a. Sa HTTP-om, kolačići datoteke se prenose kao običan tekst u okviru HTTP zaglavlja, što znači da nisu šifrovane. Zlonamerna osoba lako može presresti saobraćaj između vas i sajta i iskoristiti kolačiće.

Ovi napadi se često događaju na javnim Wi-Fi mrežama, naročito ako nisu zaštićene protokolima WPA2 ili WPA3. Iz tog razloga preporučujemo maksimalan oprez sa javnim hotspot-ovima. Mnogo je bezbednije koristiti mobilne podatke. Ako putujete u inostranstvo, dobro je koristiti Kaspersky eSIM Store.

Skriptovanje među sajtovima – Cross-site scripting (XSS)

Skriptovanje među sajtovima se dosledno nalazi među vodećim ranjivostima veb bezbednosti, i to s dobrim razlogom. Ovaj tip napada omogućava zlonamernim akterima da dođu do podataka sajta — uključujući i datoteke kolačića koje sadrže željene identifikatore sesije.

Kako to funkcioniše: napadač pronađe ranjivost u izvornom kodu sajta i ubaci zlonamernu skriptu. Nakon toga dovoljno je da posetite inficiranu stranicu i možete se pozdraviti sa svojim kolačićima. Skripta dobija pun pristup vašim kolačićima i šalje ih napadaču.

Falsifikovanje zahteva među sajtovima – Cross-site request forgery (CSRF/XSRF)

Za razliku od drugih tipova napada, falsifikovanje zahteva među sajtovima koristi odnos poverenja između veb-sajta i vašeg pregledača. Napadač navodi pregledač prijavljenog korisnika da izvrši nenamernu akciju bez njegovog znanja, poput promene lozinke ili brisanja podataka, recimo otpremljenih video zapisa.

Za ovaj tip napada, pretnja se realizuje tako što napadač napravi veb stranicu ili email koji sadrži zlonamerni link, HTML kod ili skriptu sa zahtevom ka ranjivom sajtu. Dovoljno je samo da otvorite stranicu ili email, ili kliknete na link, pa da pregledač automatski pošalje zlonamerni zahtev ciljanom sajtu. Svi vaši kolačići za taj sajt biće priloženi uz zahtev. Verujući da ste vi zatražili, recimo, promenu lozinke ili brisanje kanala, sajt će izvršiti zahtev napadača u vaše ime.

Zato preporučujemo da ne otvarate linkove primljene od nepoznatih osoba i da instalirate Kaspersky Password Manager, koji vas može upozoriti na zlonamerne linkove ili skripte.

Predvidivi identifikatori sesije
Ponekad napadačima nisu potrebne složene šeme — dovoljno je da pogode identifikator sesije. Na nekim sajtovima, jer se oni generišu predvidivim algoritmima i mogu sadržati informacije poput vaše IP adrese plus lako ponovljiv niz karaktera.

Da bi izveli ovakav napad, hakeri moraju prikupiti dovoljno uzoraka identifikatora, analizirati ih i zatim otkriti algoritam generisanja kako bi ih mogli samostalno predviđati.

Postoje i drugi načini krađe identifikatora sesije, poput fiksiranja sesije (session fixation), ubacivanja kolačića (cookie tossing) i napada čovek-u-sredini (man-in-the-middle – MitM). Više o ovakvim napadima možete pročita na Securelist.

Kako da se zaštitite od kradljivaca kolačića

Veliki deo odgovornosti za sigurnost kolačića leži na programerima veb-sajtova. Oni preporuke mogu naći u našem punom izveštaju na Securelist-u.

Ali postoje stvari koje svi možemo da uradimo da bismo ostali bezbedni onlajn:

• Unosite lične podatke samo na veb-sajtovima koji koriste HTTPS protokol. Ako u adresnoj traci vidite „HTTP“, nemojte prihvatati kolačiće niti unositi poverljive podatke poput korisničkog imena, lozinke ili brojeva kreditnih kartica.
• Obratite pažnju na upozorenja pregledača. Ako pri poseti sajtu dobijete upozorenje o nevažećem ili sumnjivom bezbednosnom sertifikatu, odmah zatvorite stranicu.
• Redovno ažurirajte pregledače ili omogućite automatska ažuriranja. Ovo pomaže u zaštiti od poznatih ranjivosti.
• Redovno brišite kolačiće i keš u pregledaču. Ovo sprečava iskorišćavanje starih, potencijalno procurelih kolačića i identifikatora sesija. Većina pregledača ima opciju da automatski briše te podatke pri zatvaranju.
• Ne pratite sumnjive linkove. Ovo naročito važi za linkove dobijene od nepoznatih osoba putem aplikacija za poruke ili e-mail-a. Ako vam je teško da razlikujete legitimni od fišing linka, instalirajte Kaspersky Premium, koji vas može upozoriti pre nego što posetite zlonamerni sajt.
• Omogućite dvofaktorsku autentifikaciju (2FA) gde god je moguće. Kaspersky Password Manager je praktičan način za čuvanje 2FA tokena i generisanje jednokratnih kodova. Sinhronizuje ih na svim vašim uređajima, što napadačima značajno otežava pristup vašem nalogu nakon završetka sesije — čak i ako ukradu vaš identifikator sesije.
• Odbijajte prihvatanje svih kolačića na svim sajtovima. Prihvatanje svakog kolačića nije najbolja strategija. Mnogi sajtovi sada nude izbor između prihvatanja svih i prihvatanja samo neophodnih kolačića. Kad god je moguće, birajte opciju “samo neophodni kolačići”, jer su oni potrebni za pravilno funkcionisanje sajta.
• Povezujte se na javne Wi-Fi mreže samo kao krajnju opciju. Često su loše zaštićene, što napadači koriste. Ako ipak morate da se povežete, izbegavajte prijavljivanje na društvene mreže ili naloge za razmenu poruka, korišćenje online bankarstva ili pristupanje bilo kojim uslugama koje zahtevaju autentifikaciju.

Image by delcoprodesign, Pixabay