Er kan veel gebeuren tussen in- en uitloggen. Twee verschillende machines communiceren via een netwerk en delen een aantal gemeenschappelijke communicatieparameters. Dit gebeurt door datapakketten tussen deze twee machines te versturen; dit proces wordt een three-way handshake genoemd. Sommige aanvallers zoeken naar sessies waartoe ze toegang kunnen krijgen en de gegevens van gebruikers uit die sessies kunnen misbruiken. Gebruikers moeten ervoor zorgen dat ze inloggen in een beveiligde omgeving en webapplicatiefirewalls gebruiken om afwijkingen in het verkeer te detecteren. Dit zijn de belangrijkste maatregelen. Om ernstigere problemen op te lossen, moeten we meer weten over sessiekaping.
Sessiekaping (ook wel cookiekaping of cookie sidejacking genoemd) is een van de meest geavanceerde man-in-the-middle-aanvallen, waarbij de aanvaller toegang krijgt tot de websessies van het slachtoffer. Het verwijst ook naar de mogelijkheid van de aanvaller om een deel van de sessie van de gebruiker over te nemen. Dit proces zou hen toegang geven tot gevoelige gegevens, zoals persoonlijke en financiële gegevens (PII en PCI), die mogelijk worden beschermd met een wachtwoord of wachtwoordzin.
Sessiekaping stelt een aanvaller in staat om allerlei wachtwoordbeveiliging te omzeilen door de bestaande verbinding te authenticeren. Stel dat een aanvaller het netwerk van gebruiker A bespioneert; deze aanvaller weet welke sessies er openstaan in het netwerkbeheersysteem van de gebruiker. Dit proces vindt plaats als de aanvaller het adres kent, bijvoorbeeld 14.0.0.1, en het sleutelsysteem van de gebruiker, 14.0.0.100. Vervolgens stuurt deze aanvaller pakketten naar het netwerkbeheersysteem (NMS) op dit adres, 14.0.0.1. Dit proces zorgt ervoor dat de gebruiker de verbinding verbreekt en pakketten blijft verzenden op 14.0.0.100 met het vervalste adres 14.0.0.1. Dit hele scenario betekent dat de sessie van gebruiker A is gekaapt.
Sessiekaping wordt over het algemeen ingezet tegen gebruikers die lid zijn van grote netwerken met een groot aantal open sessies. Netwerkprotocollen zoals FTP, Telnet en login zijn favoriet bij aanvallers omdat hun verbindingen en communicatiesessies sessiegericht zijn.
Populaire voorbeelden van sessiekaping
Hypertekstoverdrachtsprotocol (HTTP) is een stateless protocol met sessiecookies gekoppeld aan de header. Wanneer een gebruiker inlogt op een website, komt het concept HTTP in beeld. Op deze manier identificeert de server de browser van de gebruiker.
De laatste tijd wordt sessiekaping steeds vaker toegepast door spyware, rootkits, botnetwerken en denial-of-service-aanvallen. Toch is het nog steeds een veelgebruikte cyberaanval.
Er zijn verschillende exploits en tools die aanvallers kunnen gebruiken om toegang te krijgen. In 2017 ontdekte een beveiligingsonderzoeker een probleem in GitLab, waarbij de sessietoken van een gebruiker rechtstreeks in de URL stond. Nader onderzoek wees uit dat de sessietoken van GitLab nooit verliep, wat betekent dat een aanvaller deze zonder verloopdatum kon gebruiken.
Een ander voorbeeld is CookieCadger, een open-sourcetool die lekkende informatie van websites en webapplicaties kan opsporen. Het kan onbeveiligde wifi en bekabelde ethernetverbindingen monitoren om de sessiecookies te achterhalen.
FireSheep was een browserextensie die in 2010 door Firefox werd uitgebracht. Deze extensie creëerde een kwetsbaarheid voor mensen die de browser op openbare netwerken gebruikten.
Wat maakt sessiekaping zo gevaarlijk?
De risico's die voortvloeien uit sessiekaping kunnen niet worden geëlimineerd door diverse softwarepatches, multifactorauthenticatie of complexe wachtwoorden. Deze aanval maakt gebruik van alle drie de zijden van de CIA-triade, waarbij de CIA-triade een representatief model is van beveiligingsconcepten: vertrouwelijkheid, integriteit en beschikbaarheid. Wanneer een aanval succesvol is, krijgt de aanvaller nu de mogelijkheid om gegevens te lezen en te wijzigen, wat in strijd is met het CIA-model.
Soorten sessie-kapingmethoden
Er bestaan verschillende soorten sessiekapingmethoden. Als u weet hoe ze werken, kunt u ze makkelijker herkennen en herkennen.
De meest voorkomende zijn:
- Cross-site scripting (XSS)
De kaper vindt zwakke plekken op de doelserver en maakt hier misbruik van door scripts in de webpagina te plaatsen. Deze pagina laadt vervolgens deze code, in de veronderstelling dat alles aan de clientzijde legitiem lijkt. Zodra deze code is geladen, geeft de webbrowser de sessie-ID (sessiesleutel) van de gebruiker door aan de kaper.
- Sessie Side-Jacking
Dit, ook wel bekend als Session Sniffing, is een actievere vorm van aanval. Maar voor dit type aanval heeft de hacker toegang nodig tot het netwerkverkeer van de gebruiker. Om dit te bereiken, gebruikt de hacker of aanvaller packet sniffing-technieken zoals Kismet of Wireshark om sessiecookies te monitoren en te stelen na het doorzoeken van de sessie van de gebruiker.
- Sessiefixatie
Bij dit type aanval maken aanvallers een sessie-ID aan, die de gebruiker gebruikt nadat hij is misleid. De sessie-ID kan worden ingesteld via URL's of formulieren in e-mails, die naar de website van de aanvaller leiden. Zodra de gebruiker inlogt, krijgt de hacker toegang tot diens gegevens.
- Brute Force
Dit werkt vooral als de website of de doelgebruiker voorspelbare sessie-ID's gebruikt, waarbij de aanvaller deze moet raden en de aanval moet uitvoeren. Een ander scenario is wanneer de hacker toegang krijgt tot een lijst met sessie-ID's van een website met zwakke beveiligingsmaatregelen.
- Man in de browser
Dit staat ook bekend als Man-in-the-Middle-aanvallen of malware. Hierbij infecteert de aanvaller de computer van de gebruiker met malware en virussen, waardoor deze een sessie kan kapen. Het is erg moeilijk om problemen met de webapplicatie of de beveiliging van de website op te sporen bij dit type aanval.
Hoe werkt sessiekaping?
Er zijn verschillende technieken of manieren om een sessie te kapen, zoals sessie-sniffing, cross-site scripting, voorspelbare sessietoken-ID, enz. Maar het basisscenario blijft hetzelfde:
Dit gebeurt wanneer een browserkaper zonder toestemming toegang krijgt tot de sessie van een gebruiker door de sessiecookie te stelen en de browser te misleiden door deze te laten geloven dat de aanvaller een echte gebruiker is.
Deze stap bestaat uit twee belangrijke stappen, zoals wanneer de gebruiker een webapplicatie of website opent, die een tijdelijke cookie installeert, ook wel een sessiecookie genoemd. Deze sessiecookies helpen de gebruiker geauthenticeerd te blijven en zijn of haar activiteit te volgen. Deze cookies blijven echter in de browser staan totdat de sessie van de gebruiker automatisch verloopt of totdat de gebruiker handmatig uitlogt. Deze hackers kunnen cyberaanvallen uitvoeren met verschillende methoden om sessie-ID's te stelen (zoals hierboven vermeld). De basis is dus om de sessie-ID uit de cookie te lokaliseren en de informatie erin te gebruiken om de sessie van de oorspronkelijke gebruiker te kapen. Nadat ze de sessie hebben overgenomen, kunnen deze hackers profiteren van de gestolen sessie-ID. Afhankelijk van hun motief kunnen ze de sessie gebruiken om persoonlijke gegevens te extraheren of illegale activiteiten uit te voeren.
Hoe kunt u zich beschermen tegen sessiekaping?
Sessiekaping is een van de grootste cyberbeveiligingsbedreigingen, maar er zijn verschillende manieren waarop een gebruiker zichzelf kan beschermen. Enkele stappen zijn:
- Vermijd openbare wifi
Gebruikers mogen nooit openbare wifi-netwerken gebruiken, vooral niet bij belangrijke online transacties zoals bankieren, winkelen, betalen, etc. Een aanvaller in de buurt kan packet sniffing gebruiken om de sessiecookies van een gebruiker te bemachtigen.
- Vertrouw op webframeworks voor sessiecookiebeheer
Hoe langer en willekeuriger sessiecookies zijn, hoe moeilijker ze te raden of te voorspellen zijn. De beste manier is om zelf een webframework te gebruiken om een systeem te genereren en te beheren.
- De sessiesleutel wijzigen na authenticatie
De beste beschermingsmethode is om de sessiesleutel direct na het inloggen te wijzigen. Op deze manier weet de aanvaller, zelfs met de originele sleutel, niet welke sleutel de gebruiker voor de testsessie zal gebruiken.
- Intrusion Detection Systems (IDS) en Intrusion Protection Systems (IPS)
Deze vergelijken het websiteverkeer met de database met veel bekende aanvalshandtekeningen. Als er een match wordt gevonden, blokkeren ze het verkeer en waarschuwen ze de eigenaar. Dit zijn dure maar effectieve benaderingen.
- Gebruik HTTPS
Dit is om ervoor te zorgen SSL of TLS types van encryptie op al het sessieverkeer. Deze stap voorkomt dat de aanvaller de sessie-ID onderschept, zelfs nadat hij het netwerkverkeer heeft geobserveerd. Een nog betere aanpak is het gebruik van HSTS (HTTP Strict Transport Security).
- Cybersecuritytools implementeren
Een voorbeeld van een dergelijk hulpmiddel voor cyberbeveiliging is DDoS Protection-software en Deception Technology, waarmee u bij elke sessie zorgvuldig kunt in- en uitloggen.
Conclusie
Er is altijd een kans dat je slachtoffer wordt van sessiekaping, maar het volgen van de bovenstaande stappen en het opletten op de symptomen kan helpen. Er wordt veel onderzoek gedaan naar het oplossen van deze kwetsbaarheid, maar de beste preventie tot nu toe is dat gebruikers zich ervan bewust zijn dat hun sessie-ID wordt gestolen.
