Archive

Blog

TechCrunch hacked (δις)

Το TechCrunch, το μεγαλύτερο portal-blog  με νέα για τεχνολογία, start-ups, και θέματα που αφορούν το Web 2.0, δέχτηκε επιτυχημένη επίθεση. Στις 26 Ιανουαρίου οι επισκέπτες του έβλεπαν για κάποιες ώρες, αντί για την σελίδα που περίμεναν, το εξής:

tech hack

Στο παρελθόν έχει καλύψει με άρθρα του επιθέσεις στο Twitter, στο RockYou, και σε άλλα μεγάλα Web 2.0 sites.

Το TechCrunch έτρεχε το διάσημο πακέτο ανοιχτού λογισμικού Wordpress, αλλά για την ώρα δεν υπάρχει κάποια πληροφόρηση αν η παραβίαση οφείλεται σε κάποιο άγνωστο exploit (zero day) στο Wordpress, σε κακή ρύθμιση της PHP, σε αμέλεια διαχειριστών, dns hijack, ή παραβίαση του δικτύου.

Σήμερα οι εισβολείς της προηγούμενης μέρας επέστρεψαν και ξανατοποθέτησαν το μήνυμα τους στη σελίδα του TechCrunch! Το μήνυμα όπως μπορεί να διαπιστώσει κανείς είναι σε οργισμένο και απειλητικό ύφος ενάντια στους ιδιοκτήτες του TechCrunch. Το screenshot είναι από το praetorianprefect.com

 

deface

 

Η δεύτερη συνεχόμενη εισβολή σημαίνει είτε ότι οι επιτιθέμενοι έχουν βρεί περισσότερους από ένα τρόπους παραβίασης του TechCrunch, είτε επιβεβαιώνει τα σενάρια για άγνωστο bug στο Wordpress (σε ορισμένα sites συζητιέται οτι πρόκειται για το xmlrpc.php, το οποίο σε προηγούμενες εκδόσεις επέτρεπε Sql Injections). Σε κάθε περίπτωση περιμένουμε ολοκληρωμένη ανάλυση από το TechCrunch, όπως οφείλει να κάνει.

IT Security News 01/10

Τον προηγούμενο μήνα είδαν το φως της δημοσιότητας αρκετά ενδιαφέροντα θέματα σχετικά με την ασφάλεια πληροφοριακών συστημάτων και τηλεπικοινωνιών. Παρακάτω θα μιλήσουμε για:

1. Domain Hijack και Defacement στο Twitter

2. Ιστορίες phishing και αν-ασφάλειας με αφορμή ένα SQL Injection

3. Πρακτική (και φτηνή) υλοποίηση σπασίματος της ασφάλειας του GSM

 

1. Domain Hijack και Defacement στο Twitter

Στις 17 Δεκέμβρη το διασημότερο δίκτυο micro-blogging twitter δέχτηκε επίθεση από την ομάδα "Iranian Cyber Army" και για λίγες ώρες οι επισκέπτες του twitter.com έβλεπαν μια διαφορετική σελίδα από αυτή που περίμεναν, με μηνύματα όπως το "THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY". Όπως προέκυψε αργότερα, πρόκειται για domain name hijack και όχι για παραβίαση κάποιου server του twitter. Το domain hijack (αρπαγή domain) είναι επίθεση στην οποία οι επιτιθέμενοι αλλάζουν τα νόμιμα DNS για ένα domain με τα δικά τους. Έτσι και στην περίπτωση του twitter, οι εισβολείς απέκτησαν πρόσβαση στο λογαριασμό του twitter στην εταιρεία που ρυθμίζει τα DNS του και άλλαξαν τις IP's ώστε να δείχνουν σε δικές τους. Έτσι όποιος επισκεπτόταν το twitter.com για όσο διήρκησε η επίθεση, μεταφερόταν σε servers που είχαν προσδιορίσει οι επιτιθέμενοι και όχι σε αυτούς του twitter.

copy_of_Twitterhacked.jpg


Πάντως το twitter μέχρι στιγμής έχει πολύ κακό ιστορικό σε θέματα ασφάλειας, όπως μπορεί να διαπιστώσει κανείς εδώ και εδώ.

Περισσότερα για το θέμα στα:
http://www.techcrunch.com/2009/12/17/twitter-reportedly-hacked-by-iranian-cyber-army/
http://www.securityfocus.com/news/11569

2. Ιστορίες phishing και αν-ασφάλειας με αφορμή ένα SQL Injection

sql_injection.jpg

Το Rockyou.com είναι ένα απο τα πιο γνωστά προγραμματιστικά εργαλεία για sites κοινωνικής δικτύωσης, όπως τα Myspace και Facebook, παρέχοντας σε εκατομμύρια προγραμματιστές και χρήστες υπηρεσίες όπως διανομή βίντεο, δημιουργία και ενσωμάτωση εφαρμογών και στόχευση σε διαφημίσεις.

Μέσα στο Δεκέμβρη η εταιρεία ασφάλειας πληροφοριακών συστημάτων Imperva ειδοποίησε το RockYou για ένα πολύ σοβαρό SQL Injection που υπήρχε στο site. Η εταιρεία μετά ανακοίνωσε οτι το RockYou επικοινώνησε μαζί τους και τους ενημέρωσε οτι διόρθωσε το σοβαρό αυτό πρόβλημα. Μιας και το SQL Injection όμως υπήρχε ήδη στο site, μπορεί να υποθέσει κανείς οτι η βάση του είχε ήδη παραβιαστεί, για παράδειγμα στις 29 Νοέμβρη είχε σταλεί email σε underground λίστα με το proof of concept της εκμετάλλευσης του Injection. Έτσι, στις 15 Δεκέμβρη, σε ένα νευριασμένο blog post, ένας hacker με ψευδώνυμο igigi υποστήριξε ότι μέσω του SQL Injection είχε ήδη πάρει τη βάση του RockYou και δημοσίευσε μέρος των δεδομένων της βάσης το οποίο μάλιστα αποδείκνυε ότι το RockYou αποθήκευε usernames και κωδικούς σε απλό κείμενο! Ο igigi μάλιστα αναφέρει χαρακτηριστικά "μη λέτε ψέμματα στους πελάτες σας (προς το RockYou), γιατί θα δημοσιεύσω τα πάντα", ενώ στο post του περιέχει μέρος του σχήματος της βάσης δεδομένων καθώς και κωδικούς χρηστών, προς απόδειξη οτι η παραβίαση όντως έγινε.

 

Data UserAccount [32603388]

================

1|jennaplanerunner@hotmail.com|mek*****|myspace|0|bebo.com

2|phdlance@gmail.com|mek*****|myspace|1|

3|jennaplanerunner@gmail.com|mek*****|myspace|0|

5|teamsmackage@gmail.com|pro*****|myspace|1|

6|ayul@email.com|kha*****|myspace|1|tagged.com

...

 

Το περιστατικό είναι ιδιαίτερα σοβαρό, μιας και από τα 32 εκατομμύρια των κωδικών, η πλειοψηφία των χρηστών θα έχει ορίσει τους ίδιους κωδικούς και για τους προσωπικούς τους λογαριασμούς email, όπως Gmail ή Yahoo.

 

Αποτελέσματα

Με πρόσβαση στους προσωπικούς λογαριασμούς, ένας επιτιθέμενος μπορεί να προβεί σε μια σειρά ενεργειών:

1. Να αποσπάσει ιδιωτικές πληροφορίες για έναν χρήστη, όπως αριθμούς πιστωτικών καρτών, φωτογραφίες, εμπιστευτικές πληροφορίες, κωδικούς για άλλες υπηρεσίες, όπως web banking κτλ.

2. Να προβεί σε κλοπή ταυτότητας (Identity theft), μιμούμενος τον χρήστη του οποίου το email έχει παραβιάσει

3. Να χρησιμοποιήσει τη λίστα των αποσπασμένων email και των επαφών τους για αποστολή spam, που ούτως ή άλλως πρόκειται για μια από τις πιο κερδοφόρες επιχειρήσεις στο Internet Underground.

 

Συμπεράσματα

Από το περιστατικό μπορούμε να εξάγουμε μια σειρά συμπερασμάτων και πρακτικών.

1. Το RockYou πάνω απ'όλα δεν έπρεπε να πάσχει από SQL Injection. Το SQL Injection είναι από τις πιο γνωστές επιθέσεις σε Web applications και sites δυναμικού περιεχομένου, με πολύ σοβαρές συνέπειες για ένα site, όπως η παραβίαση ολόκληρης της βάσης δεδομένων.

2. Απ'ότι φαίνεται το RockYou κράταγε τους κωδικούς των χρηστών σε clear text για 2 λόγους: α)για να τους στέλνει στους χρήστες σε περιπτωση που είχαν ξεχάσει τον κωδικό, και β) μιας και πρόκειται για υπηρεσία proxy και Single Sign On, προς τα Myspace, Facebook κτλ. Το πρώτο είναι προφανώς λανθασμένη πρακτική, μιας και το email κυκλοφορεί σε clear text, και έτσι ανοίγει ένας ακόμα δρόμος να αποσπαστεί από τρίτους, αλλά και επειδή η συνηθισμένη πρακτική είναι να γίνονται encrypted τα passwords ώστε να είναι πιο προστατευμένα σε περίπτωση παραβίασης του συστήματος. Όσον αφορά το δεύτερο, μπορούμε να φανταστούμε ότι για μια υπηρεσία του επιπέδου του RockYou η ανάπτυξη συστήματος ώστε το SSO να λειτουργεί με encrypted passwords δεν είναι ιδιαίτερο πρόβλημα!

Όπως και να'χει υπάρχουν ενδείξεις ότι η λίστα κυκλοφορούσε (και κυκλοφορεί) σε underground κύκλους, για τη χρήση σε phishing attacks και spam.


Συμβουλές

Με αφορμή το περιστατικό μπορούμε να σημειώσουμε τα εξής βασικά, για :

χρήστες

1. Μη χρησιμοποιείτε τους ίδιους κωδικούς για περισσότερους από ένα λογαριασμούς (πχ email), ώστε αν καταφέρει κάποιος να παραβιάσει έναν να μην μπορεί να αποκτήσει πρόσβαση σε όλους.

2. Φροντίζετε να αλλάζετε κωδικούς κατά καιρούς και σιγουρευτείτε οτι δεν μπορούν να τους βρουν εύκολα.

προγραμματιστές

1. προστατεύστε τις εφαρμογές σας από σοβαρά προβλήματα τύπου sql injections.

2. Χρησιμοποιήστε frameworks που έχουν υψηλή ασφάλεια από default, όπως τα django και plone μεταξύ άλλων, που προστατεύουν από τέτοιου είδους επιθέσεις.

3. Μην αποθηκεύετε κωδικούς χωρίς κρυπτογράφηση!

Περισσότερα

http://hackingexpose.blogspot.com/2009/12/rockyoucom-sql-injection-flaw-issue.html

http://www.rockyou.com/help/securityMessage.php

 

3. Πρακτική (και φτηνή) υλοποίηση σπασίματος της ασφάλειας του GSM

 

gsmcracked.jpg

 

Στο 26ο συνέδριο CCC (Chaos Communication Congress) στο Βερολίνο που πραγματοποιήθηκε το διάστημα 27-30 Δεκέμβρη, ανάμεσα στις (ιδιαίτερα) ενδιαφέρουσες παρουσιάσεις, ήταν και αυτή των Karsten Nohl και Chris Paget που αφορούσε την επίδειξη πρακτικής επίθεσης στο σύστημα GSM (Global System for Mobile communications) και υποκλοπής τηλεφωνικών κλήσεων, με ιδιαίτερα χαμηλό σε κόστος εξοπλισμό. Γίνεται έτσι πραγματικότητα αυτό που έχει αποδειχτεί σε θεωρητικό επίπεδο εδώ και αρκετά χρόνια, ότι ο αλγόριθμος A5/1 που χρησιμοποιεί για κρυπτογράφηση το GSM δεν είναι αρκετός να προστατεύσει την ασφάλεια των κλήσεων, οι οποίες είναι ευάλωτες σε σειρά επιθέσεων (Cloning, spoofing, man-in-the-middle, decrypting, sniffing κτλ). 

Ο εξοπλισμός που χρησιμοποίησαν (USRP hardware) κοστίζει $1500 και το λογισμικό είναι ανοιχτού κώδικα (OpenBTS και Asterisk).

Η ομιλία και το βίντεο βρίσκονται στο
http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html, ενώ η έρευνα για την ασφάλεια του A5/1 των συγκεκριμένων ερευνητών βρίσκεται στο http://reflextor.com/trac/a51

Αξίζει να μεταφέρουμε εδώ αυτό που αναφέρουν οι ερευνητές στη σελίδα του project, "δεν αποσκοπούμε στην εκμετάλλευση των αδυναμιών αυτών, παρά θέλουμε να ενημερώσουμε για το γεγονός ότι οι κλήσεις μέσω GSM μπορούν ήδη να παρακολουθούνται και να αποκρυπτογραφούνται με χρήση εμπορικών εργαλείων".

Το Wikileaks χρειάζεται τη βοήθεια μας

Ο διάσημος δικτυακός τόπος εδώ και λίγες μέρες είναι κατεβασμένος, και στη θέση του έχει αναρτηθεί ένα μήνυμα που καλεί σε υποστήριξη χρηματική, τεχνική ή νομική.

Το Wikileaks έχει κατέβει προσωρινά και θα παραμείνει έτσι μέχρι τις 6 Γενάρη, αν και δεν δίνονται πολλές πληροφορίες. Πιο συγκεκριμένα το Wikileaks ζητά βοήθεια σε:

  • Τεχνικό επίπεδο, ψάχνουν προγραμματιστές και διαχειριστές συστημάτων, για να βοηθήσουν στην προσθήκη καινούργιου hardware, να γράψουν λογισμικό, ή να γίνουν διαχειριστές σε μέρος της υποδομής. Επίσης ζητούν δωρεάν server space, για περίοδο τουλάχιστον 12 μηνών. Επικοινωνία στο wl-supporters@sunshinepress.org.
  • Νομικό επίπεδο, χρειάζονται βοήθεια από δικηγόρους που μπορούν να αφιερώσουν λίγο χρόνο υπερασπίζοντας υποθέσεις που αφορούν την παγκόσμια δικαιοσύνη και την ελευθερία του λόγου. Επικοινωνία στο wl-legal@sunshinepress.org.
  • σε Οικονομικό επίπεδο, οποιαδήποτε δωρεά είναι απολύτως απαραίτητη για τη συνέχιση του εγχειρήματος. Επικοινωνία στο wl-supporters@sunshinepress.org.

Με μότο "We help you safely get the truth out", το Wikileaks είναι ένας δικτυακός τόπος που λειτουργεί από το Γενάρη του 2007 και δημοσιεύει ευαίσθητα, απόρρητα και εμπιστευτικά έγγραφα και διαρροές από κυβερνητικό και εταιρικό υλικό από οποιαδήποτε χώρα του κόσμου, διατηρώντας την ανωνυμία του προμηθευτή του υλικού. Το Wikileaks επιτρέπει δηλαδή να βγεί στην επιφάνεια υλικό που πολύ δύσκολα θα έβγαινε διαφορετικά.

Τεχνολογία

Το Wikileaks λειτουργεί πάνω στην πλατφόρμα Mediawiki, που χρησιμοποιεί και το Wikipedia. Μέσα σε ένα χρόνο από τη λειτουργία του, δέχτηκε πάνω από 1.2 εκατομμύρια έγγραφα, ενώ τον Ιούνιο του 2009 διέθετε πάνω από 1.200 εγγεγραμμένους εθελοντές. Το Wikileaks επιτρέπει στους αποστολείς του υλικού να στέλνουν κείμενα ανώνυμα και χωρίς να μπορούν να εντοπιστούν. Για να διασφαλίσει ότι τα άτομα που στέλνουν τα κείμενα δεν θα καταλήξουν στη φυλακή, διωκόμενοι από τις χώρες τους για δημοσίευση απόρρητων πληροφοριών, το Wikileaks στηρίζεται σε τεχνολογίες ελεύθερου λογισμικού, όπως τα Tor, Freenet και PGP.

Ορθότητα των διαρροών

Όπως διακηρύττει το Wikileaks, δεν έχουν δημοσιεύσει ποτέ παραποιημένα ή ψεύτικα έγγραφα. Οποιοδήποτε κείμενο αξιολογείται πριν δημοσιευτεί. Στην πιθανότητα οι διαρροές να είναι αποπροσανατολιστικές ή επιτηδευμένα ψεύτικες, έχει απαντήσει ότι οι ψεύτικες διαρροές είναι μέσα στην καθημερινή ατζέντα των μεγάλων ΜΜΕ. Αυτό που υποστηρίζει είναι ότι μια παγκόσμια κοινότητα ενημερομένων χρηστών και διαχειριστών είναι ο πιο αποτελεσματικός τρόπος για να αναλύονται τα κείμενα-διαρροές και να αποφεύγεται το ψεύτικο υλικό.

Διάσημες διαρροές

Στη βάση του Wikileaks υπάρχει ένα πλήθος κειμένων και εγγράφων. Το υλικό μπαίνει σε κατηγορίες ανάλογα με τη χώρα που αφορά και είναι διαθέσιμο προς αναζήτηση. Μέσα από το Wikileaks μάθαμε για τις παράνομες δραστηριότητες (πχ ξέπλυμα χρημάτων) της Ελβετικής τράπεζας Julius Baer, για τις οδηγίες μεταχείρισης των κρατουμένων στη φυλακή του Γκουαντανάμο, από τον αμερικανικό στρατό, μέσω του εγχειριδίου που διέρρευσε, για έγγραφα που αποδεικνύουν τη μόλυνση του περιβάλλοντος από μεγάλες πολυεθνικές και σκόπιμες παραλείψεις αυτών, και πολλές άλλες υποθέσεις.

Σημείωση: μέχρι τις 6 Γενάρη που το site δεν λειτουργεί, μπορείτε να επισκέπτεστε το mirror στο http://mirror.wikileaks.info, με περιορισμένη λειτουργικότητα.