ZŁAMANIE: Nowa wada bezpieczeństwa Gmaila. Więcej domen zostanie skradzionych!

Reklama

Jak wielu z was wie już 2 listopada, domena MakeUseOf.com została nam skradziona. Odzyskanie domeny zajęło nam około 36 godzin. Jak już wskazaliśmy wcześniej hakerowi jakoś udało się uzyskać dostęp do mojego konta Gmail, a stamtąd do naszego konta GoDaddy, odblokować domenę i przenieść ją do innego rejestratora.

Całą historię możesz zobaczyć na naszym tymczasowym blogu makeuseof-temporary.blogspot.com/

Nie planowałem publikować niczego na temat incydentu lub crackera (osoby, która kradnie domeny) i tego, jak udało mu się to zrobić, chyba że sam jestem tego całkowicie pewien. Miałem dobre przeczucie, że to błąd bezpieczeństwa Gmaila, ale chciałem to potwierdzić przed opublikowaniem czegokolwiek o tym na MakeUseOf. Uwielbiamy Gmaila i nadawanie im złej reklamy nie jest czymś, czego byśmy chcieli do zrobienia.

Dlaczego więc teraz pisać o tym?

W ciągu ostatnich dwóch dni wydarzyło się kilka rzeczy, które sprawiły, że uwierzyłem, że Gmail ma poważną lukę w zabezpieczeniach i wszyscy powinni o tym wiedzieć. Zwłaszcza w czasach, gdy opowiadają ci tacy ludzie jak Steve Rubel

Jak ustawić Gmaila jako bramę do Internetu. Nie zrozumcie mnie źle, Gmail to NIESAMOWITY program pocztowy. Prawdopodobnie najlepszy. Problem polega na tym, że może nie być wiarygodny, jeśli chodzi o bezpieczeństwo. To powiedziawszy, niekoniecznie oznacza, że ​​lepiej Ci będzie z Yahoo lub Live Mail.

Incydent 1: MakeUseOf.com - 2 listopada

Gdy nasza domena została skradziona, podejrzewaliśmy, że haker wykorzystał dziurę w Gmailu, ale nie byliśmy tego pewni. Dlaczego podejrzewałem, że ma to coś wspólnego z Gmailem? Cóż, z jednej strony jestem raczej ostrożny w kwestii bezpieczeństwa i rzadko uruchamiam wszystko, czego nie jestem pewien. Dbam również o aktualizację systemu i posiadam wszystkie niezbędne elementy, w tym 2 monitory złośliwego oprogramowania, program antywirusowy i 2 zapory ogniowe. Zwykle używam silnych i unikalnych haseł do każdego z moich kont.

Haker uzyskał dostęp do mojego konta Gmail i skonfigurował tam kilka filtrów, które ostatecznie pomogły mu uzyskać dostęp do naszego konta GoDaddy. Nie wiedziałem, jak mu się to udało. Czy była to dziura w zabezpieczeniach Gmaila? A może był to keylogger na moim komputerze? Nie byłem tego pewien. Po tym zdarzeniu przeskanowałem swój system kilkoma usunięciami złośliwego oprogramowania i niczego nie znalazłem. Przeszedłem również przez każdy uruchomiony proces. Wszystko wydaje się czyste.

Jestem skłonny wierzyć, że problem dotyczy Gmaila.

Incydent 2: YuMP3.org - 19 listopada

18 listopada dostałem e-mail od osoby o imieniu Edin Osmanbegovic, która prowadzi witrynę yump3.org. (Prawdopodobnie znalazł mój e-mail za pośrednictwem Google, ponieważ incydent z MakeUseOf był opisywany na kilku popularnych blogach, wiele z nich w tym mój identyfikator e-mail.) W swoim e-mailu Edin powiedział mi, że jego domena została skradziona i przeniesiona do innego rejestratora. Szybko przeszukałem yoump3 i zobaczyłem, że dość dobrze ugruntowana witryna wyświetla teraz stronę farmy z linkami (dokładnie tak jak w naszym przypadku).

Google (według ostatniego indeksu):

Hompage YouMP3.org (obecnie):

Oto kopia pierwszego e-maila otrzymanego od Edin:

Witaj,
Mam ten sam problem z moją domeną.
Domena została przeniesiona z Enom do GoDaDDy.
Natychmiast wysłałem zgłoszenie do pomocy dotyczące tego problemu.

Whois nowego właściciela domeny to:

Imię i nazwisko: Amir Emami
Adres 1: P.O. Box 1664
Miasto: League City
Stan: Teksas
Zip: 77574
Kraj: USA
Telefon: +1.7138937713
E-mail:Informacje kontaktowe administracyjne:
Imię i nazwisko: Amir Emami
Adres 1: P.O. Box 1664
Miasto: League City
Stan: Teksas
Zip: 77574
Kraj: USA
Telefon: +1.7138937713
E-mail:

Techniczne dane kontaktowe:
Imię i nazwisko: Amir Emami
Adres 1: P.O. Box 1664
Miasto: League City
Stan: Teksas
Zip: 77574
Kraj: USA
Telefon: +1.7138937713
E-mail:

Adres e-mail to: [email protected]
Wczoraj facet z tego adresu e-mail skontaktował się ze mną za pośrednictwem Gtalk.
Powiedział, że chce 2000 $ za domenę.
Potrzebuję porady, skontaktowałem się z Enom.

Dziękuję Ci.

I zgadnij co, to ten sam facet, który na początku tego miesiąca ukradł MakeUseOf.com. Skontaktowano się również z nami z tego samego adresu e-mail: [email protected]. Edin również wysłał mi dzisiaj e-maila i potwierdził, że facet uzyskał również dostęp do swojego konta domeny za pośrednictwem swojego konta Gmail. To znowu Gmail.

W swoim ostatnim e-mailu (otrzymanym dzisiaj) Edin zamieścił krótkie podsumowanie wydarzeń

Mam historię tego, jak on wszystko zrobił.

10 listopada byłem właścicielem.
13 listopada Mark Morphew.
18 listopada Amir Emami.

Obie osoby wykorzystały [email protected].

Wysłałem wczoraj również wszystko do Moniker.
Będą badać.

Incydent 3: Cucirca.com - 20 listopada

Ten ostatni e-mail był głównym powodem tego postu. Pochodzi od Florina Cucirki, właściciela cucirca.com. Strona ma ranking Alexa 7681 i według Florina odwiedza ją codziennie ponad 100 000 osób.

Pierwszy e-mail od Florina:

Cześć Aibek

Jestem w tej samej sytuacji makeuseof.com wyszedł.

Jestem Cucirca Florin i moja domena www.cucirca.com była
przeniesione z mojego konta chrzestnego bez mojej zgody.

Wygląda na to, że złodziej znał moje hasło Gmaila, co jest dziwne.
Udało mu się stworzyć filtry na moim koncie.

Załączam 2 zrzuty ekranu.

Możesz mi pomóc? Podaj mi kilka szczegółów, w jaki sposób mogę uzyskać
z tego złego snu? Właśnie się o tym dowiedziałem i ja
nie sądzę, żebym mógł dziś spać.

Z góry dziękuję.

Florin Cucirca.

Wysłałem e-mail do Florina i zapytałem go o kilka szczegółów na temat jego domeny, czy skontaktował się z GoDaddy i jakikolwiek informacjami, które uzyskał na temat faceta crackera domen (termin używany do kradzieży domen).

Drugi e-mail od Florina:

Haker miał dostęp do mojego konta e-mail (Gmail). Domena była hostowana na chrzestnych.
Użyłem rozszerzenia powiadamiającego Gmaila w Firefoksie. może jest duży błąd.
Przeniósł domenę na register.com

Nie rozmawiam z hakerem. Chcę to odzyskać zgodnie z prawem, a jeśli nie będzie innego rozwiązania, może mu zapłacę

www.cucirca.com ma Alexa Rank 7681 i ponad 100 000 odwiedzin dziennie.

Załączę 2 zrzuty ekranu z mojego konta Gmail.

[email protected] i na drugim ekranie [email protected]

Jeśli wykonasz wyszukiwanie w domenie [email protected] w Google, znajdziesz to:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Myślę, że ktoś powinien ich powstrzymać.

Wysłałem e-mail na adres [email protected] i czekam na odpowiedź.

Co myślisz? Czy odzyskam moją domenę?

Wygląda na to, że to znowu Gmail! Oto częściowe zrzuty ekranu z tego, co mi przysłał:

W przypadku Florina haker zmienił własność domeny kilka miesięcy temu. Witryna cucirca.com została przeniesiona z GoDaddy do Register.com. Ponieważ haker przechwytywał jego e-maile i nigdy nie zmieniał serwerów nazw, zakładam, że Florin nie miał pojęcia, że ​​coś jest nie tak. Kiedy zapytałem go, dlaczego tak długo zajęło mu odkrycie, przysłał mi:

Przeniósł domenę na swoje imię w dniu 2008-09-05, pozostawiając serwery nazw bez zmian. Dlatego nie zauważyłem, że moja skaza została skradziona do wczoraj, kiedy mój przyjaciel zrobił Whois w mojej domenie ...

Nie miałem powodu sprawdzać rekordów Whois, ponieważ domena była rejestrowana przez 7 lat (do 08.11.2013)

Nie otrzymałem żadnych e-maili od tej osoby.

I znowu wydaje się, że to ten sam facet! Dlaczego tak myślę? Jeśli sprawdzisz ten link, który Florin zawarł w jednym z jego e-maili (dodałem go również poniżej), zobaczysz że w niektórych innych podobnych zdarzeniach (kto wie, o ile więcej domen on tak ukradł) e-mail adres [email protected] został wymieniony wraz z nazwą „Aydin Bolourizadeh”. Ten sam e-mail pojawił się także w regule przekazywania na koncie Gmail Florin (patrz pierwszy zrzut ekranu).

Kiedy MakeUseOf.com został nam odebrany, cracker prosił mnie o 2000 $. A kiedy zapytałem go, gdzie i jak chce zarabiać, powiedział mi, żebym wysłał pieniądze za pośrednictwem Western Union na następujący adres:

Aydin Bolourizadeh
indyk
Ankara
Cukurca kirkkonaklar mah 3120006954

zrzut ekranu z http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Jestem całkiem ładna, że ​​był to ten sam facet we wszystkich 3 incydentach i prawdopodobnie 788 innych wymienionych w powyższym linku, w tym takich domen jak yxl.com, visitchina.net i visitjapan.net.

Kiedy szukałem tego adresu w Google, odkryłem również, że jest właścicielem następujących domen (prawdopodobnie również je ukradł):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Zakładam, że facet rzeczywiście pochodzi z Turcji i prawdopodobnie zamieszka gdzieś w następującym obszarze.

• Cukurca kirkkonaklar mah 3120006954

Ankara, Turcja

Wiemy również, że używa [email protected] jako swojego adresu e-mail. Jeśli więc wiemy, kto stoi za domenągames.org, możemy zbliżyć się o jeden krok. W rzeczywistości wysłał e-mail kilka dni temu i poprosił mnie o usunięcie wszystkich wystąpień jego e-maila ze strony internetowej, a jeśli nie zastosujemy się do niego, prześle nam DDOS.

Oto jego dokładne słowa:

Cześć,
Proszę o usunięcie mojego adresu e-mail ([email protected]) z witryny!
Zrób to, jeśli nie chcesz mieć żadnych problemów w przyszłości, w przeciwnym razie zacznę mieć duży DDOS na twojej stronie i sprawię, że ...
Jestem bardzo poważny, więc usuń mój adres e-mail i nazwę domainsgame.org

Wygląda więc na to, że jeśli uda nam się dotrzeć do identyfikatora za domainsgame.org, możemy zdobyć naszego faceta i prawdopodobnie odkryć wiele innych domen, które on ukradł. Przeczytaj więcej na ten temat poniżej. Porozmawiajmy teraz o Gmailu.

Luka w zabezpieczeniach Gmaila

Czy ktoś pamięta, co się stało z Davidem Airey w zeszłym roku? Jego domena też została skradziona. Historia była w Internecie.

– OSTRZEŻENIE: awaria bezpieczeństwa Gmaila Google powoduje, że moja firma jest sabotowana
- Wspólny wysiłek przywraca Davida Airey.com

Zarówno my, jak i David udało nam się odzyskać domenę. Ale nie jestem pewien, czy wszyscy mają tyle szczęścia, co my. Niestety rejestratorzy tak naprawdę nie będą z tobą współpracować, chyba że historia zyska trochę uwagi. Nie mam więc wątpliwości, że pozostały setki osób, które nie mają szans, muszą podać nazwę domeny lub zapłacić temu facetowi.

W każdym razie wróć do Gmaila.

W swoim pierwszym artykule David Airey odniósł się do luki w Gmailu, o której wspomniano (o ile się nie mylę) tutaj kilka miesięcy wcześniej. Podsumowując:

Ofiara odwiedza stronę podczas logowania do Gmaila. Po wykonaniu strona wykonuje wieloczęściowy / formularz-formularz POST do jednego z interfejsów Gmaila i wstrzykuje filtr na listę filtrów ofiary. W powyższym przykładzie atakujący pisze filtr, który po prostu wyszukuje wiadomości e-mail z załącznikami i przekazuje je na wybrany e-mail. Ten filtr automatycznie przesyła wszystkie wiadomości e-mail pasujące do reguły. Pamiętaj, że przyszłe wiadomości e-mail będą również przekazywane. Atak pozostanie obecny tak długo, jak ofiara będzie miała filtr na liście filtrów, nawet jeśli początkowa luka, która była przyczyną wstrzyknięcia, zostanie naprawiona przez Google.

oryginalna strona: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Ciekawe jest to, że aktualizacja powyższego linku GNU Citizen stwierdza, że ​​luka została naprawiona przed 28 września 2007 r. Ale w przypadku Davida incydent miał miejsce w grudniu, 2-3 miesiące później.

Czy więc wtedy exploit został naprawiony? A może był to nowy exploit w przypadku Davida? A co najważniejsze, czy Gmail ma TERAZ podobną lukę w zabezpieczeniach?

Co powinieneś teraz zrobić?

(1) Cóż, moją pierwszą radą byłoby sprawdzenie ustawień poczty e-mail i upewnienie się, że poczta nie jest zagrożona. Sprawdź dostępne opcje i filtry. Pamiętaj też o wyłączeniu IMAP, jeśli go nie używasz. Dotyczy to również kont Google Apps.

(2) Zmień kontaktowy adres e-mail na poufnych kontach internetowych (paypal, rejestrator domen itp.) Z podstawowego konta Gmail na coś innego. Jeśli jesteś właścicielem witryny, zmień kontaktowy adres e-mail konta hosta i rejestratora na inny. Najlepiej niż coś, do czego nie jesteś zalogowany podczas przeglądania sieci.

(3) Zaktualizuj domenę do rejestracji prywatnej, aby Twoje dane kontaktowe nie pojawiały się w wynikach wyszukiwania WhoIS. Jeśli korzystasz z GoDaddy, polecam skorzystanie z Rejestracji chronionej.

(4) Nie otwieraj linków w swoim e-mailu, jeśli nie znasz osoby, z której pochodzą. A jeśli zdecydujesz się otworzyć link, najpierw się wyloguj.

AKTUALIZACJA:

W odpowiedzi na artykuł MakeUseOf odkryłem kilka dobrych artykułów omawiających potencjalną lukę w zabezpieczeniach:

– Wadowy dowód bezpieczeństwa Gmaila
– Komentarze na ten temat na YCombinator
- (listopad 26th) Bezpieczeństwo Gmaila i ostatnia aktywność phishingowa [Oficjalna odpowiedź od Google]

Pomóż nam złapać faceta!

Oprócz powyższego adresu korespondencyjnego wiemy również, że używa [email protected] jako jego e-mail. Jeśli więc dowiemy się, kto jest teraz właścicielem domeny-gamesgames.org, możemy zbliżyć się o jeden krok. lub przynajmniej zwróci domeny, które ukradł, ich odpowiednim właścicielom.

Rzecz w tym, że nazwa domeny domainsgames.org jest chroniona przez Moniker i ukrywają wszystkie dane kontaktowe.

Identyfikator domeny: D154519952-LROR
Nazwa domeny: DOMAINSGAME.ORG
Utworzono: 22-paź-2008 07:35:56 UTC
Ostatnia aktualizacja: 08-lis-2008 12:11:53 UTC
Data ważności: 22-paź-2009 07:35:56 UTC
Rejestrator sponsorujący: Moniker Online Services Inc. (R145-LROR)
Status: ZABRONIONE USUWANIE KLIENTA
Status: PRZENIESIENIE PRZEZ KLIENTA
Status: ZAKAZ AKTUALIZACJI KLIENTA
Status: PRZENIESIENIE ZABRONIONE
Identyfikator rejestrującego: MONIKER1571241
.
.
.
.
Serwer nazw: NS3.DOMAINSERVICE.COM
Serwer nazw: NS2.DOMAINSERVICE.COM
Serwer nazw: NS1.DOMAINSERVICE.COM
Serwer nazw: NS4.DOMAINSERVICE.COM

Wysłałem im o tym e-mailem (podobnie jak Edin) i zaktualizuję cię tutaj, gdy tylko coś od nich usłyszę.

Mam też pewne prośby do następujących firm, które teraz świadczą usługi na rzecz tej osoby.

Podczas przeglądania plików nagłówkowych w kilku wiadomościach e-mail było jasne, że haker korzysta z Google Apps. Proszę spojrzeć na to. Domena to domainsgame.org. A także proszę NAPRAW! Gmail.

Przede wszystkim pomóż Edin i Florin odzyskać swoje domeny. Jedną mądrą rzeczą byłoby sprawdzenie adresów IP logowania do konta dla wszystkich podobnych zgłoszonych przypadków. Na przykład zarówno w przypadku Edynburga, jak i naszym (nie jestem pewien co do Florina) haker używał adresu IP 64.72.122.156. (Nawiasem mówiąc, okazało się, że jest to zagrożony serwer Alpha Red Inc.). Lub nawet łatwiej, po prostu zablokuj nazwę domeny i poproś obecnego posiadacza konta o potwierdzenie jego tożsamości. Ponieważ haker używał wszędzie różnych tożsamości, byłoby to niemożliwe. W Twoim najlepszym interesie jest, aby ta osoba nie korzystała już z twoich usług.

Zamknij jego konto! (to jest dla domainsgame.org). Wszelkie dodatkowe informacje lub pomoc, które możesz udzielić, będą mile widziane.

Nie jestem do końca pewien, ale uważam, że DomainSponsor to firma, która zarabia na domenach, które ten facet kradnie. Stało się to z MakeUseOf.com, a teraz dzieje się z YouMP3.org.

5- To PayPal. COM: (Twoje wsparcie jest okropne)

Jestem pewien, że nawet tego nie przeczytają, więc powiem ci tylko. Wysłałem wiadomość e-mail na [email protected] i ostrzegłem ich, że osoba, która ukradła naszą domenę i szantażowała nas wcześniej, używa konta [email protected] (używa również innych kont). Poprosiłem ich, żeby się przyjrzeli. Zamiast tego dostaję e-maila, który nie ma nic wspólnego z tym, co powiedziałem. Zasadniczo jest to szablon e-maila, który miał wyglądać autentycznie i wysłany do osób, które zostały sfałszowane. No chodź! Płacimy 3% prowizji za każdą transakcję, czy nie jesteście w stanie zapewnić lepszej obsługi klienta?

To wszystko co mam!

Jeszcze raz bardzo przepraszam za to, co stało się z Florinem i Edinem. Naprawdę mam nadzieję, że wkrótce odzyskają swoje domeny. Teraz wszystko leży w gestii odpowiednich rejestratorów. Ale co najważniejsze, chcę zobaczyć, jak duży korpus (nie klienci) robi coś, by złapać tę osobę. Jestem pewien, że każdy blogger doceniłby to i prawdopodobnie nawet napisałby o tym na swoim blogu.

Czas na ZMIANĘ ;-)

Z poważaniem
Aibek

kredyt na zdjęcie: dzięki maszyna za najlepsze zdjęcie „Mr Cracker”