БРЕАКИНГ: Нова Гмаил безбедносна грешка. Украдено више домена!

Реклама

Као што многи од вас већ знају 2. новембра, домен МакеУсеОф.цом украден је од нас. Требало нам је око 36 сати да вратимо домен. Као што смо истакли раније хакер је некако успео да добије мој Гмаил налог и одатле до нашег ГоДадди налога, откључа домен и пребаци га на другог регистрара.

Читаву причу можете видети на нашем привременом блогу макеусеоф-темпорари.блогспот.цом/

Нисам планирао да објавим ништа о инциденту или провалнику (особи која краде домене) и како је успео да то повуче осим ако у то нисам био сасвим сигуран. Имао сам добар осећај да је то Гмаил безбедносни пропуст, али желео сам да то потврдим пре него што објавим било шта о томе на МакеУсеОф. Ми волимо Гмаил и слање јавности у њих није нешто што бисмо икада желели урадити.

Па зашто онда писати о овоме сада?

У последња два дана догодило се неколико ствари због којих сам веровао да Гмаил има озбиљан пропуст у безбедности и сви треба да буду свесни тога. Нарочито у време када вам то кажу појединци попут Стевеа Рубела Како направити Гмаил свој ГатеВаи на Интернет

. Сада, немојте ме овде погрешно схватити, Гмаил је АВЕСОМЕ програм за е-пошту. Најбоље вероватно. Проблем је што можда није поуздан када је реч о безбедности. Као што је речено, то не мора нужно значити и да ће вам бити боље с Иахоо-ом или Ливе Маил-ом.

Инцидент 1: МакеУсеОф.цом - 2. новембра

Када нам је украден домен, сумњали смо да је хакер искористио неку рупу у Гмаил-у, али нисмо били сигурни у то. Зашто сам посумњао да то има везе са Гмаил-ом? Па, за једну ствар сам прилично опрезан по питању сигурности и ретко водим нешто у што нисам сигуран. Такође ажурирам свој систем и имам све основне податке, укључујући 2 монитора за малваре, антивирус и 2 фиревалл. Такође имам тенденцију да користим јаке и јединствене лозинке за сваки мој налог.

Хакер је приступио мом Гмаил налогу и тамо поставио неке филтере који су му на крају помогли да добије приступ нашем ГоДадди налогу. Оно што нисам знао је како је то успео. Да ли је била безбедносна рупа у Гмаил-у? Или је то био кеилоггер на мом рачунару? Нисам био сигуран у то. Након инцидента скенирао сам систем с већим бројем уклањања злонамјерног софтвера и нисам пронашао ништа. Такође сам прошао кроз сваки трчање процес. Све је чисто.

Дакле, склон сам да верујем да је проблем био са Гмаил-ом.

Инцидент 2: ИуМП3.орг - 19. новембра

18. новембра, добио сам е-маил од некога по имену Един Османбеговић који води локацију иумп3.орг. (Вероватно је пронашао мој емаил путем Гоогле-а, јер је инцидент са МакеУсеОф-ом био покривен на неколико популарних блогова од којих је укључио мој ИД е-поште.) У свом мејлу Един ми је рекао да му је домен украден и пребачен код другог регистрара. Брзо сам прегледао иоумп3 и видео да прилично устројена веб страница сада приказује страницу фарме веза (тачно као у нашем случају).

Гоогле (на последњем индексу):

Хомепаге ИоуМП3.орг (присутан):

Ево копије првог е-маила који сам добио од Едина:

Здраво,
Имам исти проблем са својим доменом.
Домен је пренесен из Еном-а у ГоДаДДи.
Одмах сам послао карту за подршку у вези са тим проблемом.

Вхоис новог власника домена је:

Име: Амир Емами
Адреса 1: П.О. Бок 1664
Град: Леагуе Цити
Држава: Тексас
Зип: 77574
Земља: САД
Телефон: +1.7138937713
Емаил:Подаци о административном контакту:
Име: Амир Емами
Адреса 1: П.О. Бок 1664
Град: Леагуе Цити
Држава: Тексас
Зип: 77574
Земља: САД
Телефон: +1.7138937713
Емаил:

Техничке контакт информације:
Име: Амир Емами
Адреса 1: П.О. Бок 1664
Град: Леагуе Цити
Држава: Тексас
Зип: 77574
Земља: САД
Телефон: +1.7138937713
Емаил:

Е-пошта је: вебс@домаинсгаме.орг
Јуче је тип с те адресе е-поште контактирао преко Гталка.
Рекао је да жели 2000 долара за домен.
Треба ми савет, молим вас, контактирао сам Еном.

Хвала вам.

И погодите шта, то је исти тип који је раније овог месеца украо МакеУсеОф.цом. Такође смо били контактирани са исте адресе е-поште: вебс@домаинсгаме.орг. Един ми је данас такође послао е-пошту и потврдио да је момак такође добио приступ свом налогу преко свог Гмаил налога. Дакле, то је поново Гмаил.

У свој последњи мејл (примљен данас) Един је укључио брзи преокрет догађаја

Имам историју како је све урадио.

10. новембра сам био власник.
13. новембра Марк Морпхев.
18. новембра Амир Емами.

Обе особе је користио вебс@домаинсгаме.орг.

Јуче сам, такође, све послао у Моникер.
Они ће истражити.

Инцидент 3: Цуцирца.цом - 20. новембра

Овај последњи мејл био је главни разлог овог поста. Долази од Флорина Цуцирка, власника цуцирца.цом. Сајт има алека ранг 7681 и према Флорину свакодневно прима преко 100.000 посета.

Први емаил од Флорина:

Здраво Аибек

У истој сам ситуацији и макеусеоф.цом се извукао.

Ја сам Цуцирца Флорин и мој домен ввв.цуцирца.цом је био
пребачен са мог бога рачуна без моје дозволе.

Чини се да је лопов знао моју гмаил лозинку која је чудна.
Успео је да створи неке филтере на мој налог.

Приложио сам 2 снимке екрана.

Можеш ли да ми помогнеш? Дајте ми неколико детаља како сам могао доћи
из овог лошег сна? Управо сам данас сазнао о томе и ја
мислим да не могу спавати вечерас

Хвала унапред.

Флорин Цуцирца.

Послао сам е-пошту Флорину и питао га мало детаља о својој домени, је ли контактирао ГоДадди и све информације које је до сада добио о крекеру домена (термин који се користи за крађу домена).

Други емаил од Флорина:

Хакер је имао приступ мом налогу за е-пошту (гмаил). Домен је био домаћин на годадди.
Користио сам проширење гмаил нотифиер-а на фирефоку. можда је ту велика буба.
Преносио је домен на регистер.цом

Нисам разговарао са хакером. Желим да га вратим легално, а ако нема другог решења, можда ћу га платити

ввв.цуцирца.цом има Алека ранг од 7681 и преко 100 000 посета дневно.

Приложићу вам 2 снимке екрана са мог гмаил налога.

јои.хоцк@гмаил.цом и на другом екрану домаин.селлн@гмаил.цом

Ако извршите гоогле претраживање домена.селлн@гмаил.цом наћи ћете ово:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Мислим да би их неко требао зауставити.

Послао сам е-пошту ундо@годадди.цом и чекао одговор.

Шта мислиш? Да ли ћу добити свој домен?

Изгледа да је поново Гмаил! Ево делимичних снимака екрана из онога што ми је послао:

У Флориновом случају хакер је пре неколико месеци променио власништво над доменом. Цуцирца.цом је пребачен са ГоДадди у Регистер.цом. Пошто је хакер пресретао његове е-поруке и никада није мењао сервере имена, претпостављам да Флорин није имао појма да нешто није у реду. Када сам га питао како је требало толико времена да сазна да ми је послао следеће:

Преносио је домен у своје име дана 2008-09-05, остављајући сервере имена непромењеним. Због тога нисам приметио да ми је домен украден све до јуче када ми је пријатељ урадио моју домену ...

Нисам имао разлога да проверим Вхоис записе јер је домен регистрован више од 7 година (до 2013-11-08)

Нисам примио никакву е-пошту од ове особе.

И опет се чини да је то исти тип! Зашто тако мислим? Ако проверите везу коју је Флорин укључио у један од својих мејлова (и ја сам је додао и испод) видећете да у неким другим сличним инцидентима (ко зна колико још домена је украо) е-поштом адреса домаин.селлн@гмаил.цом помиње се заједно са именом „Аидин Болоуризадех“. Иста адреса е-поште се такође појавила у правилу за прослеђивање на Флориновом Гмаил налогу (погледајте прву слику екрана).

Кад су нам узели МакеУсеОф.цом, крекер ме тражио 2000 $. А када сам га питао где и како жели да му се исплати, рекао ми је да пошаљем новац преко Вестерн Униона на следећу адресу:

Аидин Болоуризадех
Турска
Анкара
Цукурца киркконаклар мах 3120006954

сцреенсхот од http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Прилично сам лепа да је то био исти момак у сва три инцидента и вероватно 788 осталих поменутих на горе наведеном линку, укључујући домене попут икл.цом, виситцхина.нет и виситјапан.нет.

Када сам тражио ту адресу на Гоогле-у, открио сам и да поседује следеће домене (вероватно их је и украо):

• Елли.цом -

http://whois.domaintools.com/elli.com

• Ттвк.нет -

http://www.dnforum.com/post252-post-1399775.html

Претпостављам да је тип из Турске и да ће вероватно боравити негде у следећем крају.

• Цукурца киркконаклар мах 3120006954

Анкара, Турска

Такође знамо да он користи вебс@домаинсгаме.орг као свој емаил. Дакле, ако знамо ко стоји иза домеинсгамес.орг, можда ћемо се само приближити. У ствари, послао ми је е-пошту пре неколико дана и тражио да уклоним све примере његове поруке е-поште са веб странице и ако се ми не придржавамо, он би нас ДДОС послао.

Ево његових тачних речи:

Здраво,
Молим вас да уклоните моју адресу е-поште (вебс@домаинсгаме.орг) са ваше веб странице!
Учините то ако не желите да имате било каквих проблема у будућности, у противном прво ћу почети да имам велики ДДОС на вашој веб локацији и умањићу га…
Јако сам серијски тако да уклоните моју адресу е-поште и име домеинсгаме.орг

Дакле, чини се да ако успијемо доћи до ИД-а који стоји иза домеинсгаме.орг, можда ћемо пронаћи нашег момка и вјероватно открити још много домена које је украо. Више о томе прочитајте у наставку. Сада да разговарамо о Гмаил-у.

Рањивост Гмаил-а

Да ли се неко сећа шта се догодило са Давидом Аиреием прошле године? Украден је и његов домен. Прича је била свуда на интернету.

– УПОЗОРЕЊЕ: Гоогле-ов пропуст у безбедности ГМаила оставља мој посао саботираним
- Колективни напор обнавља Давид Аиреи.цом

И ми и Давид смо успели да вратимо домен. Али нисам сигуран да ли су сви сретни колико и ми. Нажалост, матичари неће стварно сарађивати с вама у вези с тим ако прича не добије одређену пажњу. Дакле, не сумњам да стотине људи вани немају шансе осим да дају име свог домена или га плате момку.

У сваком случају, вратите се на Гмаил.

У свом првом чланку Давид Аиреи се односио на Гмаил рањивост која је (ако се не варам) поменута овде неколико месеци раније. Да сумирам:

Жртва посјећује страницу док је пријављена у ГМаил. По извршењу, страница извршава вишестрани ПОСТ података / образац података на једном од ГМаил интерфејса и убризгава филтер у листу филтера жртве. У горњем примеру, нападач пише филтер који једноставно тражи е-пошту са прилозима и шаље га на е-пошту по њиховом избору. Овај филтер ће аутоматски пренети сву е-пошту која одговара правилу. Имајте на уму да ће и будуће е-поруке такође бити прослеђене. Напад ће остати присутан све док жртва има филтер на својој листи филтера, чак и ако Гоогле утврди почетну рањивост, која је била узрок убризгавања.

оригинална страница: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Занимљив део је да ажурирање горње ГНУ Цитизен везе каже да је рањивост утврђена пре 28. септембра 2007. Али у Давидовом случају, инцидент се догодио у децембру, 2-3 месеца касније.

Да ли је тада експлоатација заиста била фиксирана? Или је то био нови подвиг у Давидовом случају? И што је најважније да ли постоји сличан пропуст у безбедности у Гмаил-у САДА?

Шта да радите сада?

(1) Па, мој први савет би био да проверите подешавања е-поште и проверите да ли ваша е-пошта није угрожена. Проверите опције и филтере за напуштање. Такође обавезно онемогућите ИМАП ако га не користите. Ово се такође односи на Гоогле Аппс налоге.

(2) Промените адресу е-поште за контакт на осетљивим веб налогима (паипал, регистратор домена итд.) Са вашег примарног Гмаил налога на нешто друго. Ако имате веб локацију, онда промените имејл за контакт за рачуне свог домаћина и регистратора у неки други имејл. Пожељно на нешто на шта нисте пријављени током прегледавања веба.

(3) Обавезно надоградите свој домен на приватну регистрацију тако да се ваши подаци за контакт не приказују при претраживањима ВхоИС-а. Ако сте на ГоДадди-у, препоручио бих вам да заштитите регистрацију.

(4) Не отварајте везе у вашој е-пошти ако не знате особу из које долазе. А ако одлучите да отворите везу, прво се одјавите.

АЖУРИРАЊЕ:

Открио сам неколико добрих чланака који говоре о потенцијалним промашајима сигурности као одговор на чланак МакеУсеОф-а:

– Доказ концепта за безбедност у Гмаилу
– Коментари о томе на ИЦомбинатору
- (Нема в. 26тх) Гмаил безбедност и недавне пхисхинг активности [Службени одговор од Гоогле-а]

Помозите нам да ухватимо момка!

Осим горње адресе поште, такође знамо да он користи вебс@домаинсгаме.орг као његов емаил. Дакле, ако откријемо ко је сада власник домеинсгамес.орг, можда ћемо се приближити једном. или у најмању руку вратити домене које је украо њиховим власницима.

Сада је ствар што је име домена домеинсгамес.орг заштићено од стране Моникер-а и они крију све контактне податке за то.

ИД домена: Д154519952-ЛРОР
Назив домена: ДОМАИНСГАМЕ.ОРГ
Написано: 22-окт-2008 07:35:56 УТЦ
Ажурирано: 08. нов. 2008. 12:11:53 УТЦ
Датум истека: 22-октобар-2009 07:35:56 УТЦ
Регистрација спонзора: Моникер Онлине Сервицес Инц. (Р145-ЛРОР)
Статус: ЗАБРАЊЕНО КЛИЈЕНТУ
Статус: ЗАБРАЊЕН КЛИЈЕНТ ТРАНСФЕР
Статус: ЗАБРАЊЕНО ЈЕ АЖУРИРАЊЕ КЛИЈЕНТА
Статус: ЗАБРАЊЕН ЈЕ ПРИЈЕНОС
ИД регистратора: МОНИКЕР1571241
.
.
.
.
Наме Сервер: НС3.ДОМАИНСЕРВИЦЕ.ЦОМ
Сервер сервера: НС2.ДОМАИНСЕРВИЦЕ.ЦОМ
Назив сервера: НС1.ДОМАИНСЕРВИЦЕ.ЦОМ
Наме Сервер: НС4.ДОМАИНСЕРВИЦЕ.ЦОМ

Већ сам им послао е-пошту (тако је и Един) о томе и ажурираћу вас чим чујем нешто од њих.

Такође имам неколико захтева да пратим компаније које сада пружају своје услуге тој особи.

Током проласка кроз датотеке заглавља у неколико адреса е-поште било је јасно да хакер користи Гоогле Аппс. Молим вас погледајте ово. Домен је домеинсгаме.орг. И такође молим ФИКС! Гмаил.

Пре свега, помозите Едину и Флорину да добију своје домене. Једна паметна ствар била би провјерити ИП адресе за пријаву на рачуне за све сличне пријављене случајеве. На пример, и у Единовом случају и у нашем (нисам сигуран у Флорину) хакер је користио 64.72.122.156 ИП адресу. (Што се успут испоставило да је компромитирани сервер на компанији Алпха Ред Инц.) Или још лакше, само закључајте име домена и затражите од власника текућег рачуна да докаже свој идентитет. Будући да је хакер свуда користио различите идентитете, то би било немогуће учинити. У вашем је најбољем интересу да осигурате да та особа више не користи ваше услуге.

Затвори његов рачун! (то је онај за домеинсгаме.орг). Свака додатна информација или помоћ која им пружите биће уважене.

Нисам баш сигуран, али мислим да је ДомаинСпонсор компанија која уновчава те домене које овај момак краде. Догодило се с МакеУсеОф.цом и сада се одвија с ИоуМП3.орг.

5- То ПаиПал. ЦОМ: (Ваша подршка је сјајна)

Сигурна сам да то неће ни прочитати, па ћу вам само рећи. Послао сам е-маил на спооф@паипал.цом и упозорио их да особа која је украла наш домен и раније нас уцењивала користи а.нпаипал@гмаил.цом налог (користи и неке друге налоге). Само сам их замолио да погледају. Уместо тога, добијам поруку е-поште која нема никакве везе са оним што сам рекла. У основи је то образац е-поште који је требао изгледати оригинално и послан људима који су се преварили. Ц'мон! Плаћамо 3% провизије за сваку трансакцију, не можете ли људи пружити бољу корисничку подршку?

То је све што имам!

Још једном ми је жао због онога што се догодило с Флорином и Едином. Искрено се надам да ће ускоро добити своје домене. Сада је све у рукама одговарајућих регистрара. Али најважније је да желим да велики корпуси (а не купци) нешто ураде како би ухватили ту особу. Сигуран сам да би сваки блогер тамо ценио то и вероватно чак и написао о томе на свом блогу.

Време је за ПРОМЕНУ ;-)

Срдачан поздрав
Аибек

кредитна слика: захваљујући машина за горњу слику "Мр Црацкер"