U poslednje vreme, zbog različitih stvari, dosta se priča o kolačićima (Cookies). I dok se uglavnom može čuti jedna strana medalje – kako nas prate po internetu – rešili smo da se bavimo drugom. Potencijalnim bezbednosnim problemima koje oni nose i zašto hakeri vole kolačiće. Kaspersky eksperti objašnjavaju kako sajber napadači presreću kolačiće i koja je uloga identifikatora sesije. Naravno, kao i uvek zaključićemo savetima kako da sprečite da vaši kolačići pređu na tamnu stranu.
Kada otvorite bilo koji sajt prvo što ćete verovatno videti jeste iskačuće obaveštenje o korišćenju kolačića. Obično imate opciju da prihvatite sve kolačiće, prihvatite samo neophodne ili ih u potpunosti odbijete. Bez obzira na izbor, verovatno nećete primetiti nikakvu razliku, a obaveštenje nestaje sa ekrana u svakom slučaju.
Ali, hajde da zaronimo malo dublje u teglu sa kolačićima. Čemu kolačići služe, koje vrste postoje, kako ih napadači mogu presresti, koji su rizici i kako da ostanete bezbedni.
Šta su kolačići
Kada posetite sajt, on šalje kolačić (cookie) vašem pregledaču. To je mala tekstualna datoteka koja sadrži podatke o vama, vašem sistemu i akcijama koje ste preduzeli na sajtu. Pregledač čuva te podatke na vašem uređaju i vraća ih serveru svaki put kada se vratite na taj sajt. Ovo pojednostavljuje interakciju sa sajtom. Ne morate se prijavljivati na svakoj stranici; sajtovi pamte podešavanja prikaza; onlajn prodavnice čuvaju artikle u korpi; striming servisi znaju na kojoj epizodi ste stali – prednosti zaista su beskonačne.
Konačići mogu da čuvaju čak i korisničko ime, lozinku i sigurnosne tokene. Mogu da čuvaju i broj telefona, kućnu adresu, bankovne podatke i identifikator sesije (Session ID)… Identifikator sesije je jedinstven kod dodeljen svakom korisniku kada se prijavi na sajt. Ako treća strana uspe da presretne ovaj kod, veb server će je videti kao legitimnog korisnika.
Evo i jednostavne analogije: zamislite da u kancelariju ulazite pomoću elektronske kartice sa jedinstvenim kodom. Ako vam kartica bude ukradena, lopov – bez obzira na to da li liči na vas ili ne – može da otvori svaka vrata do kojih vi imate pristup, bez ikakvih problema. U međuvremenu, sigurnosni sistem će verovati da ste to vi koji ulazite. Zvuči kao scena iz kriminalističke serije, zar ne? Isto se dešava i online. Ako haker ukrade kolačić sa vašim identifikatorom sesije, može se prijaviti na sajt na koji ste vi već prijavljeni. I to u vaše ime, bez potrebe da unosi korisničko ime i lozinku. Ponekad može čak i da zaobiđe dvofaktorsku autentifikaciju.
Linus Sebastian, poznati tech bloger, tako je ostao bez svoja sva tri YouTube kanala 2023. godine. Hakeri su ukrali i preuzeli Linus Tech Tips i još dva kanala Linus Media Group sa desetinama miliona pratilaca.
Koje vrste kolačića postoje
Svi kolačići se mogu klasifikovati prema više karakteristika. Hakeri vole kolačiće, pa da vidimo koje vrste postoje i šta rade…
Prema vremenu čuvanja:
- Privremeni ili kolačići sesije. Koriste se samo dok ste na veb-sajtu. Brišu se čim ga napustite. Neophodni su za stvari poput održavanja prijave dok se krećete sa strane na stranu ili pamćenja izabranog jezika i regiona
- Trajni kolačići. Ostaju na vašem uređaju i nakon što napustite sajt. Štede vas potrebe da svaki put iznova prihvatate ili odbijate politiku kolačića. Obično traju oko godinu dana.
Moguće je da se kolačić sesije pretvori u trajni. Na primer, ako označite polje Zapamti me, Sačuvaj podešavanja ili slično, podaci će biti sačuvani u trajnom kolačiću.
Prema izvoru:
- Kolačići prve strane. Generiše ih sam sajt. Omogućavaju pravilno funkcionisanje sajta i pružaju korisnicima normalno iskustvo. Mogu se koristiti i za analitiku i marketinške svrhe
- Kolačići treće strane. Prikupljaju ih spoljne usluge. Koriste se za prikazivanje oglasa i prikupljanje statistike oglašavanja, između ostalog. U ovu kategoriju spadaju i kolačići sa servisa za analitiku poput Google Analytics i društvenih mreža. Oni čuvaju vaše podatke za prijavu, što omogućava da lajkujete stranicu ili delite sadržaj na društvenim mrežama jednim klikom.
Prema važnosti:
- Neophodni (required/essential) kolačići. Podržavaju osnovne funkcionalnosti sajta, kao što je prodaja proizvoda na e-commerce platformi. U tom slučaju, svaki korisnik ima lični nalog, a neophodni kolačići čuvaju njegovo korisničko ime, lozinku i identifikator sesije.
- Opcioni kolačići. Koriste se za praćenje ponašanja korisnika i preciznije ciljano oglašavanje. Većina opcionih kolačića pripada trećim stranama i ne utiče na vašu mogućnost da koristite sve funkcije sajta.
Kolačići prema tehnologiji čuvanja:
- Standardno se čuvaju u tekstualnim datotekama u pregledaču. Kada obrišete podatke pregledača, brišu se i oni, nakon čega sajtovi koji su ih poslali vas više ne prepoznaju.
- Postoje i dve posebne podvrste kolačića. To su super-kolačići (super-cookies) i obnavljajući-kolačići (ever-cookies), koji se čuvaju na nestandardne načine. Super-kolačići se ugrađuju u zaglavlja sajta i skladište na nestandardnim lokacijama, čime izbegavaju brisanje funkcijom čišćenja pregledača. Trajni-kolačići se mogu obnoviti pomoću JavaScript-a čak i nakon što budu obrisani. To znači da se mogu koristiti za postojano i teško kontrolisano praćenje korisnika.
Isti kolačić može da bude deo više kategorija. Na primer, većina opcionih kolačići su oni treće strane, dok neophodni uključuju privremene koji su odgovorni za bezbednost konkretne sesije pregledanja. Za više detalja o tome kako i kada se koriste sve vrste kolačića možete pročitati izveštaj na Securelist blogu.
Kako se identifikator sesije krade
Kolačići koji sadrže identifikator sesije najprimamljivije su mete za hakere. Krađa identifikatora sesije poznata je i kao session hijacking, a neke od najzanimljivijih i najrasprostranjenijih metoda slede.
Presretanje sesije
Otmica sesije je moguća praćenjem internet saobraćaja između korisnika i veb-sajta. Ovaj tip napada dešava se na sajtovima koji koriste manje bezbedan HTTP protokol umesto HTTPS. Uz HTTP, kolačići datoteke se prenose kao običan tekst u okviru HTTP zaglavlja, što znači da nisu šifrovane. Zlonamerna osoba lako može presresti saobraćaj između vas i sajta i iskoristiti kolačiće.
Ovi napadi se često događaju na javnim Wi-Fi mrežama, naročito ako nisu zaštićene protokolima WPA2 ili WPA3. Iz tog razloga preporučujemo maksimalan oprez sa javnim hotspot-ovima. Mnogo je bezbednije koristiti mobilne podatke. Ako putujete u inostranstvo, dobro je koristiti Kaspersky eSIM Store.
Skriptovanje među sajtovima – Cross-site scripting (XSS)
Skriptovanje među sajtovima se nalazi među vodećim ranjivostima veb bezbednosti, i to s dobrim razlogom. Ovaj tip napada omogućava zlonamernim akterima da dođu do podataka sajta. To uključuje i datoteke kolačića koje sadrže željene identifikatore sesije.
Evo malo više o tome kako to funkcioniše. Napadač pronađe ranjivost u izvornom kodu sajta i ubaci zlonamernu skriptu. Nakon toga dovoljno je da posetite inficiranu stranicu i možete se pozdraviti sa svojim kolačićima. Skripta dobija pun pristup vašim kolačićima i šalje ih napadaču.
Pročitajte još:
Falsifikovanje zahteva među sajtovima – Cross-site request forgery (CSRF/XSRF)
Za razliku od drugih tipova napada, falsifikovanje zahteva među sajtovima koristi odnos poverenja između sajta i vašeg pregledača. Napadač navodi pregledač prijavljenog korisnika da izvrši nenamernu akciju bez njegovog znanja, promenu lozinke ili brisanje podataka, recimo otpremljenih videa.
Za ovaj tip napada, pretnja se realizuje tako što napadač napravi veb stranicu ili email koji sadrži zlonameran link, HTML kod ili skriptu sa zahtevom ka ranjivom sajtu. Dovoljno je da otvorite stranicu ili mejl ili kliknete na link, pa da pregledač automatski pošalje zlonamerni zahtev ciljanom sajtu. Kolačići za taj sajt biće priloženi uz zahtev. Verujući da ste vi tražili, recimo, promenu lozinke ili brisanje kanala, sajt će izvršiti zahtev napadača u vaše ime.
Zato preporučujemo da ne otvarate linkove primljene od nepoznatih osoba. Takođe, instalirajte Password Manager, koji vas može upozoriti na zlonamerne linkove ili skripte.
Predvidivi identifikatori sesije
Ponekad napadačima nisu potrebne složene šeme. Dovoljno je da pogode identifikator sesije na nekim sajtovima. Oni se generišu predvidivim algoritmima i mogu sadržati informacije poput vaše IP adrese plus lako ponovljiv niz karaktera.
Da bi izveli ovakav napad, hakeri moraju da prikupe dovoljno uzoraka identifikatora, analiziraju ih i zatim otkriju algoritam generisanja kako bi ih mogli samostalno predviđati.
Postoje i drugi načini krađe identifikatora sesije, poput fiksiranja sesije (session fixation), ubacivanja kolačića (cookie tossing) i napada čovek-u-sredini (man-in-the-middle – MitM). Više o ovakvim napadima možete pročitati na sajtu Securelist.
Hakeri vole kolačiće – kako da se zaštitite
Do sada vam je jasno da hakeri vole kolačiće, ali pomaći ćemo vam da se zaštitite kako dolikuje. Veliki deo odgovornosti za sigurnost kolačića leži na programerima sajtova. Oni preporuke mogu naći u punom izveštaju na istom sajtu od malopre. Ali postoje stvari koje svi možemo da uradimo da bismo ostali bezbedni onlajn. To su:
- Unosite lične podatke samo na veb-sajtovima koji koriste HTTPS protokol. Ako u adresnoj traci vidite HTTP, nemojte prihvatati kolačiće niti unositi podatke poput korisničkog imena, lozinke ili brojeva kreditnih kartica
- Obratite pažnju na upozorenja pregledača. Ako pri poseti sajtu dobijete upozorenje o nevažećem ili sumnjivom bezbednosnom sertifikatu, odmah zatvorite stranicu
- Redovno ažurirajte pregledače ili omogućite automatska ažuriranja. Ovo pomaže u zaštiti od poznatih ranjivosti
- Redovno brišite kolačiće i keš u pregledaču. Ovo sprečava iskorišćavanje starih, potencijalno procurelih kolačića i identifikatora sesija. Većina pregledača ima opciju da automatski briše te podatke pri zatvaranju
- Ne pratite sumnjive linkove. Ovo naročito važi za linkove dobijene od nepoznatih osoba putem aplikacija za poruke ili mejla. Ako vam je teško da razlikujete legitimni od fišing linka, instalirajte Kaspersky Premium, koji vas može upozoriti pre nego što posetite zlonamerni sajt
- Omogućite dvofaktorsku autentifikaciju (2FA) gde god je moguće. Kaspersky Password Manager je praktičan način za čuvanje 2FA tokena i generisanje jednokratnih kodova. Sinhronizuje ih na svim vašim uređajima, što napadačima značajno otežava pristup vašem nalogu nakon završetka sesije. Čak i ako ukradu vaš identifikator sesije
Pročitajte još:
- Odbijajte prihvatanje svih kolačića na svim sajtovima. Prihvatanje svakog kolačića nije najbolja strategija. Mnogi sajtovi sada nude izbor između prihvatanja svih i prihvatanja samo neophodnih kolačića. Kad god je moguće, birajte opciju samo neophodni kolačići, jer su oni potrebni za pravilno funkcionisanje sajta
- Povezujte se na javne Wi-Fi mreže samo kao krajnju opciju. Često su loše zaštićene, što napadači koriste. Ako ipak morate da se povežete, izbegavajte prijavljivanje na društvene mreže ili naloge za razmenu poruka, korišćenje online bankarstva ili pristupanje bilo kojim uslugama koje zahtevaju autentifikaciju.
Hakeri vole kolačiće – ali nadmudrite ih!
Sada vam je verovatno jasno zašto hakeri vole kolačiće. Zato nemojte da im dozvolite da vaš računar bude „tegla“ iz koje će ih uzeti 😉 Zdrava doza opreza uvek najbolja prevencija i znanje, naravno – uvek se edukujte o zaštiti onlajn!
