كشف يک طرح جديد فوروارد كردن كوكی

شماره: IRCNE2012021392
تاريخ: 15/11/90

محققان مايكروسافت كه در حال بررسي موضوع شناسايي كاربران با استفاده از تحليل داده هاي جمع آوري شده از لاگ وب بودند، به طور اتفاقي يك طرح فوروارد كردن كوكي را كشف كردند كه مي­تواند براي كمك به سرقت نشست مورد استفاده قرار گيرد.
در صورتي­كه اين طرح به كار گرفته شود، مي­تواند به طور غيرمجاز اقدام به فوروارد كردن كوكي­هاي نشست­هاي سرقت شده به سيستم­هاي زامبي منفرد در بت نت­ها نمايد كه مي­توان از آنها براي دسترسي غيرمجاز به وب سايت­ها استفاده نمود.
اين محققان با استفاده از داده هايي درباره صدها ميليون دستگاه كه در آگوست 2010 به هاتميل متصل شده اند، درصد قابل توجهي را كشف كرده اند كه از بيش از يك سيستم مستقل اينترنتي متصل شده اند- يك مجموعه بزرگ از آدرس­هاي IP مرتبط كه معمولا تحت كنترل يك سازمان بزرگ مانند يك ارائه دهنده سرويس، شركت يا دانشگاه هستند.
با رديابي كوكي­هايي كه هاتميل براي اين دستگاه­ها فرستاده است، محققان نتيجه گرفته اند كه اغلب آنها معتبر بوده و با توجه به تغيير موقعيت آدرس IP آنها، احتمالا موبايل هستند يا اينكه از VPN استفاده مي­كنند.
اما اين محققان يك گروه كوچك از كوكي­ها نيز كشف كرده اند كه رفتار غيرعادي از خود بروز مي­دهند. براي مثال يك آدرس IP منفرد در دانمارك به تعداد زيادي از حساب­هاي هاتميل لاگين مي­كرد. آنگاه كوكي­هاي هاتميل­ كه به اين كاربران ارسال شده بودند براي دسترسي به آدرس­هاي IP در چندين سيستم مستقل در ايالات متحده مجددا مورد استفاده قرار مي­گرفتند كه مشخصا از طريق يك كانال پنهان براي آن آدرس­هاي IP ارسال مي­شدند.
حساب­هاي هاتميل كه به آنها لاگين شده بود همگي در يك روز ايجاد شده بودند و سن كاربر، داده هاي موقعيت مكاني و مدل­هاي نامگذاري در آنها يكسان بود. محققان نتيجه گيري كرده اند كه اين حساب­ها، حساب­هاي كاربري روبات هستند.
آنها دو توضيح احتمالي براي اين فعاليت­ها دارند. نخست اينكه برخي ارائه دهندگان سرويس ايميل در صورتي يك حساب را به عنوان حساب مشكوك علامت گذاري مي­كنند كه در يك بازه زماني كوتاه، از موقعيت­هاي جغرافيايي مختلفي به آن لاگين شده باشد. اين نوع فعاليت مي­تواند اين ترفند را گير بيندازد. منتشر كردن كوكي­ها مي­تواند به مهاجمان اجازه دهد كه بدون اينكه به طور واضح لاگين نمايند، به حساب­ها دسترسي پيدا كنند، در نتيجه احتمال تشخيص آن پايين مي آيد.
دوم اينكه ممكن است مهاجمان از حساب­هاي روباتي و فوروارد كوكي براي اين استفاده نمايند كه تخمين بزنند تا چه اندازه مي­توانند به حساب­ها دسترسي پيدا كنند تا براي استفاده از اين روش عليه كاربران واقعي و حساب­هاي واقعي، آمادگي پيدا نمايند.
اين محققان مي­گويند كه تحليل مدل­هاي حركتي با استفاده از داده هاي بي­نام جمع آوري شده از ارائه دهندگان سرويس مي­تواند يك روش ارزشمند براي تشخيص اين نوع حملات باشد.