Poczta Polska jest podatna na atak polegający na podmianie adresu źródłowego. Istnieje możliwość wysłania listu bez kupowania i naklejania znaczka.
Klan 'Poison' przeprowadził dwie próby wykorzystania podatności, z czego obie zakończyły się pełnym sukcesem.
-----
Pierwsza próba polegała na wysłaniu koperty bez znaczka na nieistniejący adres pocztowy. Jedynymi poprawnymi danymi były: miasto oraz ulica. Adres źródłowy był prawdziwy i był to adres pocztowy Michała, założyciela klanu 'Poison'. List został wysłany w Sosnowcu przez Kamila, odkrywcę podatności, i po przeszło miesiącu trafił do skrzynki Michała.
Proof of concept (1): Dla uproszczenia będziemy posługiwać się przykładowymi oraz prawdziwymi adresami i osobami, mając jednocześnie na uwadze, iż mogą być one dowolne.
Poczta Polska widząc brak znaczka, odsyła zwykle list do nadawcy. Jeżeli jednak droga do nadawcy jest równie długa jak do odbiorcy, to poczta może postanowić wysłać list do odbiorcy. Ostatecznie list trafia do urzędu pocztowego miasta docelowego (w naszym przypadku do Ustrzyk Dolnych). Poczta orientuje się, że list nie może zostać dostarczony z powodu nieosiągalności adresata (ang. destination unreachable), więc jest odsyłany do miejsca, skąd został wysłany (tj. Sosnowca) na podstawie śladu (ang. trace). Poczta w Sosnowcu nie ma jak zwrócić listu, ponieważ adres źródłowy wskazuje na Warszawę, gdzie mieszka Michał. List jest zatem przesyłany do Warszawy (ang. redirect) i trafia do skrzynki Michała.
Analiza pieczątek i tekstów znajdujących się na kopercie jest praktycznym potwierdzeniem wyżej opisanej podatności oraz dowodu teoretycznego.
Exploit (1): Kopertę adresujemy nieistniejącym adresem docelowym. Adresem źródłowym jest adres, pod który faktycznie chcemy wysłać list.
-----
Druga próba polegała na wysłaniu koperty bez znaczka na istniejący adres pocztowy, w naszym przypadku do Katowic, gdzie mieszka Mateusz, członek klanu 'Poison'. Adresem źródłowym był po raz kolejny adres pocztowy Michała. List został wysłany znowu w Sosnowcu przez Kamila i po przeszło miesiącu trafił do skrzynki Mateusza.
Proof of concept (2): Dla uproszczenia będziemy posługiwać się przykładowymi oraz prawdziwymi adresami i osobami, mając jednocześnie na uwadze, iż mogą być one dowolne.
Poczta Polska widząc brak znaczka, odsyła zwykle list do nadawcy. Jeżeli jednak droga do nadawcy jest znacznie dłuższa niż do odbiorcy, to poczta może postanowić wysłać list do odbiorcy. List trafia do urzędu pocztowego miasta docelowego (w naszym przypadku do Katowic), skąd dostarczany jest do skrzynki Mateusza.
Analiza pieczątek i tekstów znajdujących się na kopercie jest praktycznym potwierdzeniem wyżej opisanej podatności oraz dowodu teoretycznego.
Exploit (2): Kopertę adresujemy adresem, pod który faktycznie chcemy wysłać list. Adresem źródłowym jest adres, który jest znacznie odleglejszy od adresu docelowego, biorąc za punkt odniesienia urząd pocztowy, gdzie wysyłamy list. Adres źródłowy nie musi być prawidłowy.
-----
Zapraszamy już wkrótce na sprawozdania z naszych następnych badań (ang. researches). W najbliższej przyszłości zamierzamy wykorzystać potencjalne podatności ogólnoświatowych urzędów pocztowych, które pozwolą nam wysyłać za darmo listy po całym globie.
We're g33x 4ever!
Poison-Team
czwartek, 27 września 2007
Subskrybuj:
Posty (Atom)