BREAKING: Nová chyba zabezpečení Gmailu. Ukradení více domén!

reklama

Jak již mnozí víte, 2. listopadu, doména MakeUseOf.com byla odcizena. Získání domény zpět nám trvalo přibližně 36 hodin. Jak jsme zdůraznili dříve hackerovi se nějak podařilo získat přístup k mému účtu Gmail a odtud k našemu účtu GoDaddy, odemknout doménu a přesunout ji do jiného registrátora.

Celý příběh můžete vidět na našem dočasném blogu makeuseof-temporary.blogspot.com/

Neplánoval jsem zveřejnit nic o incidentu nebo crackeru (osobě, která ukradne domény) ao tom, jak se mu to podařilo stáhnout, ledaže jsem si tím byl úplně jistý. Měl jsem dobrý pocit, že se jednalo o bezpečnostní chybu v Gmailu, ale chtěl jsem ji před zveřejněním cokoli potvrdit o tom na MakeUseOf. Milujeme Gmail a jejich špatná publicita není něco, co bychom chtěli dělat.

Tak proč o tom teď psát?

Za poslední dva dny se stalo několik věcí, které mě přiměly uvěřit, že Gmail má závažnou bezpečnostní chybu a každý by si měl být toho vědom. Obzvláště v době, kdy vám to říkají jednotlivci, jako je Steve Rubel Jak si z Gmailu udělat GateWay na webu

. Teď mě tady nechápejte špatně, Gmail je e-mailový program AWESOME. Nejlepší pravděpodobně. Problém je v tom, že to nemusí být spolehlivé, pokud jde o bezpečnost. Jak již bylo řečeno, nemusí to nutně znamenat, že budete s Yahoo nebo Live Mail lépe.

Incident 1: MakeUseOf.com - 2. listopadu

Když byla naše doména odcizena, měli jsme podezření, že hacker použil v Gmailu nějakou díru, ale nebyli jsme si tím jisti. Proč jsem měl podezření, že to má něco společného s Gmailem? Pro jednu věc jsem spíše opatrný ohledně bezpečnosti a zřídka spouštím vše, o čem si nejsem jistý. Také udržuji svůj systém aktuální a mám všechny náležitosti, včetně 2 monitorů malwaru, antiviru a 2 firewallů. Také mám tendenci používat silná a jedinečná hesla pro každý z mých účtů.

Hacker přistoupil k mému účtu Gmail a nastavil tam nějaké filtry, které mu nakonec pomohly získat přístup k našemu účtu GoDaddy. Nevěděl jsem, jak se mu to podařilo. Byl to bezpečnostní otvor v Gmailu? Nebo to byl keylogger na mém PC? Nebyl jsem si tím jistý. Po incidentu jsem prohledal svůj systém pomocí řady odstranění malwaru a nic jsem nenašel. Také jsem prošel každým běžícím procesem. Vše je čisté.

Jsem proto nakloněn uvěřit, že problém byl s Gmailem.

Incident 2: YuMP3.org - 19. listopadu

18. listopadu jsem dostal e-mail od někoho jménem Edin Osmanbegovic, který web provozuje yump3.org. (Pravděpodobně našel můj e-mail přes Google, protože incident s MakeUseOf byl pokryt několika populárními blogy, mnoha z toho včetně mého e-mailového ID.) Ve svém e-mailu mi Edin řekl, že jeho doména byla ukradena a přesunuta do jiného registrátora. Rychle jsem zaskočil yoump3 a viděl jsem, že poměrně zavedený web nyní zobrazuje stránku odkazové farmy (přesně jako v našem případě).

Google (v posledním indexu):

Domovská stránka YouMP3.org (přítomná):

Zde je kopie úplně prvního e-mailu, který jsem dostal od Edin:

Ahoj,
Mám stejný problém s mojí doménou.
Doména byla převedena z Enom na GoDaDDy.
Okamžitě jsem poslal technickou podporu ohledně tohoto problému.

Whois nového vlastníka domény je:

Jméno: Amir Emami
Adresa 1: P.O. Box 1664
Město: League City
Stát: Texas
ZIP: 77574
Země: US
Telefon: +1.7138937713
E-mailem:Administrativní kontaktní informace:
Jméno: Amir Emami
Adresa 1: P.O. Box 1664
Město: League City
Stát: Texas
ZIP: 77574
Země: US
Telefon: +1.7138937713
E-mailem:

Technické kontaktní informace:
Jméno: Amir Emami
Adresa 1: P.O. Box 1664
Město: League City
Stát: Texas
ZIP: 77574
Země: US
Telefon: +1.7138937713
E-mailem:

E-mail je: [email protected]
Včera mě ten chlap z této e-mailové adresy kontaktoval přes Gtalk.
Řekl, že pro doménu chce 2000 $.
Potřebuji radu, prosím, kontaktoval jsem Enoma.

Děkuju.

A hádejte co, je to ten samý chlap, který začátkem tohoto měsíce ukradl MakeUseOf.com. Byli jsme také kontaktováni ze stejné e-mailové adresy: [email protected]. Edin mi také e-mailem dnes potvrdil, že ten chlap také získal přístup k účtu své domény prostřednictvím svého účtu Gmail. Takže je to znovu Gmail.

Ve svém posledním e-mailu (obdrženém dnes) zahrnul Edin rychlou rekapitulaci událostí

Mám historii toho, jak všechno udělal.

10. listopadu jsem byl majitelem.
13. listopadu Mark Morphew.
18. listopadu Amir Emami.

U obou osob použil [email protected].

Včera jsem poslal také Monthera každý den.
Budou vyšetřovat.

Incident 3: Cucirca.com - 20. listopadu

Tento poslední e-mail byl hlavním důvodem tohoto příspěvku. Pochází od Florina Cucirky, majitele cucirca.com. Tato stránka má hodnocení alexa 7681 a podle Florina dostává denně přes 100 000 návštěv.

První e-mail od Florina:

Ahoj Aibek

Jsem ve stejné situaci.

Jsem Cucirca Florin a moje doména www.cucirca.com byla
převedeny z mého účtu bohyně bez mého svolení.

Zdá se, že zloděj znal moje gmail heslo, které je zvláštní.
Podařilo se mi vytvořit některé filtry na můj účet.

Připojil jsem 2 snímky obrazovky.

Můžeš mi pomoci? Dej mi nějaké podrobnosti o tom, jak bych se mohl dostat
z tohoto špatného snu? Právě jsem o tom dnes našel a já
nemyslete si, že bych dnes večer mohl spát.

Díky předem.

Florin Cucirca.

Poslal jsem e-mailem Florinovi a zeptal jsem se ho na podrobnosti o jeho doméně, zda kontaktoval GoDaddyho a cokoli, co doposud dostal na chlapa s crackerem domény (termín používaný pro doménového zloděje).

Druhý e-mail od Florina:

Hacker měl přístup k mému e-mailovému účtu (gmail). Doména byla hostitelem bohyně.
Na firefox jsem použil rozšíření gmail notifier. možná je tu velká chyba.
Převedl doménu na register.com

S hackerem nemluvím. Chci to získat legálně a pokud neexistuje jiné řešení, možná mu zaplatím

www.cucirca.com má Alexa Rank 7681 a denně přes 100 000 návštěv.

Připojím vám 2 snímky obrazovky mého účtu Gmail.

[email protected] a na druhé obrazovce domé[email protected]

Pokud vyhledáte google domé[email protected], najdete toto:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Myslím, že by je někdo měl zastavit.

Poslal jsem e-mail [email protected] a čekal na odpověď.

Co myslíš? Dostanu svou doménu zpět?

Vypadá to, že je to znovu Gmail! Zde jsou částečné screenshoty z toho, co mi poslal:

V případě Florina hacker před několika měsíci změnil vlastnictví domény. Cucirca.com byl převeden z GoDaddy na Register.com. Vzhledem k tomu, že hacker zachytil jeho e-maily a nikdy nezměnil jmenné servery, předpokládám, že Florin netušil, že se něco stalo. Když jsem se ho zeptal, jak to, že mu trvalo tak dlouho zjistit, poslal mi následující:

Dne 2008-09-05 doménu převedl na své jméno a ponechal jmenné servery nezměněné. Proto jsem si nevšiml, že moje doomain byla ukradena až do včerejška, když můj přítel udělal whois v mé doméně….

Neměl jsem důvod kontrolovat whois záznamy, protože doména byla registrována po dobu 7 let (do 2013-11-08)

Od této osoby jsem neobdržel žádné e-maily.

A opět se zdá, že je to stejný člověk! Proč si to myslím? Pokud zaškrtnete odkaz, který Florin zahrnul do jednoho ze svých e-mailů (přidal jsem jej také níže), uvidíte že v některých podobných případech (kdo ví, kolik dalších domén ukradl, jako je tento), e-mail adresa [email protected] byl uveden spolu se jménem „Aydin Bolourizadeh“. Stejný e-mail se také objevil v pravidlu pro předávání vpřed v účtu Florina v Gmailu (viz první snímek obrazovky).

Když nás MakeUseOf.com převzal, cracker mě žádal o 2000 $. A když jsem se ho zeptal, kde a jak chce dostat zaplaceno, řekl mi, abych posílal peníze přes Western Union na následující adresu:

Aydin Bolourizadeh
krocan
Ankara
Cukurca kirkkonaklar mah 3120006954

screenshot z http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Jsem docela hezký, že to byl stejný člověk ve všech 3 incidentech a pravděpodobně 788 dalších uvedených ve výše uvedeném odkazu, včetně domén jako yxl.com, visitchina.net a visitjapan.net.

Když jsem hledal tuto adresu na Google, také jsem zjistil, že vlastní následující domény (pravděpodobně je také ukradl):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Předpokládám, že ten chlap pochází z Turecka a pravděpodobně pobývá někde v následující oblasti.

• Cukurca kirkkonaklar mah 3120006954

Ankara, Turecko

Víme také, že jako e-mail používá [email protected]. Pokud tedy víme, kdo stojí za doménami doméngames.org, můžeme se jen o krok přiblížit. Ve skutečnosti poslal e-mailem před několika dny a požádal mě, abych odstranil všechny výskyty jeho e-mailu z webu, a pokud to nedodrží, bude nás DDOS.

Zde jsou jeho přesná slova:

Ahoj,
Žádám vás, abyste ze svého webu odstranili moji e-mailovou adresu ([email protected])!
Udělejte to, pokud v budoucnu nebudete mít žádný problém. Jinak nejprve začnu mít na vašem webu velký DDOS a zruším ho ...
Jsem velmi seriuos, takže odeberte můj e-mail a jméno domaingame.org

Zdá se tedy, že pokud se dostaneme k ID za doménami doméngame.org, můžeme dostat našeho chlapa a pravděpodobně odhalit mnoho dalších domén, které ukradl. Přečtěte si více o ní níže. Nyní pojďme mluvit o Gmailu.

Chyba zabezpečení Gmailu

Pamatuje si někdo, co se loni stalo s Davidem Aireym? Jeho doména byla také ukradena. Příběh byl po celém webu.

– VAROVÁNÍ: Selhání zabezpečení společnosti Google pomocí GMail opustí moji firmu sabotovanou
- Kolektivní úsilí obnovuje Davida Airey.com

My i Davidovi se podařilo doménu získat zpět. Ale nejsem si jistý, zda jsou všichni stejně šťastní jako my. Registrátoři s vámi na tom bohužel opravdu nebudou spolupracovat, pokud se příběhu nedostane nějaká pozornost. Takže nepochybuji, že tam venku jsou stovky lidí, kteří nemají šanci, ale buď dát své doménové jméno, nebo zaplatit chlapovi.

Každopádně zpět do Gmailu.

David Airey ve svém prvním článku hovořil o zranitelnosti Gmailu, která byla zmíněna (pokud se nemýlím) tady před několika měsíci. Abych to shrnul:

Oběť navštíví stránku, zatímco je přihlášena do GMail. Po spuštění provede stránka POST pro multipart / form-data na jednom z rozhraní GMail a vloží filtr do seznamu filtrů oběti. Ve výše uvedeném příkladu útočník napíše filtr, který jednoduše vyhledá e-maily s přílohami a předá je e-mailu podle svého výběru. Tento filtr automaticky převede všechny e-maily odpovídající pravidlu. Mějte na paměti, že budou zasílány také budoucí e-maily. Útok zůstane přítomen tak dlouho, dokud oběť bude mít ve svém seznamu filtrů filtr, i když společnost Google opraví počáteční zranitelnost, která byla příčinou injekce.

původní stránka: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Zajímavostí je, že aktualizace výše uvedeného odkazu GNU Citizen uvádí, že zranitelnost byla opravena před 28. zářím 2007. Ale v Davidově případě došlo k incidentu v prosinci, o 2-3 měsíce později.

Bylo tedy zneužití skutečně opraveno? Nebo to bylo nové zneužití v Davidově případě? A co je nejdůležitější, existuje v Gmailu podobná bezpečnostní chyba TEĎ?

Co byste měli udělat teď?

(1) No, mojí první radou by bylo zkontrolovat nastavení e-mailu a ujistit se, že váš e-mail není ohrožen. Zkontrolujte možnosti a filtry fowarding. Nezapomeňte také zakázat protokol IMAP, pokud jej nepoužíváte. To platí také pro účty Google Apps.

(2) Změňte kontaktní e-mail ve svých citlivých webových účtech (paypal, registrátor domény atd.) Z primárního účtu Gmail na něco jiného. Pokud vlastníte web, změňte kontaktní e-mail pro své účty hostitele a registrátora na jiný e-mail. Přednostně k něčemu, k čemu nejste při procházení webu přihlášeni.

(3) Nezapomeňte upgradovat svou doménu na soukromou registraci, aby se vaše kontaktní údaje nezobrazovaly při vyhledávání WhoIS. Pokud jste na GoDaddy, doporučuji vám jít s chráněnou registrací.

(4) Neotevírejte odkazy ve svém e-mailu, pokud nevíte, od koho pocházejí. A pokud se rozhodnete odkaz otevřít, nezapomeňte se nejprve odhlásit.

AKTUALIZACE:

V reakci na článek MakeUseOf jsem objevil několik dobrých článků diskutujících o možné bezpečnostní chybě:

– Protokol o kontrole obsahu Gmail Flaw
– Komentáře o tomto na YCombinator
- (listopad 26 ') Zabezpečení Gmailu a nedávné phishingové aktivity [Oficiální odpověď od Google]

Pomozte nám chytit chlapa!

Kromě výše uvedené poštovní adresy víme také, že používá [email protected] jako jeho e-mail. Pokud tedy zjistíme, kdo nyní vlastní doménu doméngames.org, můžeme se o krok blíže. nebo přinejmenším vrátit domény, které ukradl jejich příslušným vlastníkům.

Nyní jde o to, že název domény domaingames.org je chráněn společností Moniker a skrývají pro ni všechny kontaktní informace.

ID domény: D154519952-LROR
Název domény: DOMAINSGAME.ORG
Vytvořeno dne: 22.10.10.2008 07:35:56 UTC
Poslední aktualizace: 08.11.11.2008 12:11:53 UTC
Datum vypršení platnosti: 22. října 2009 07:35:56 UTC
Sponzor: Moniker Online Services Inc. (R145-LROR)
Stav: ZAKÁZÁNO KLIENTA ZAKÁZÁNO
Stav: ZAKÁZANÝ PŘENOS KLIENTŮ
Stav: ZAKÁZANÁ AKTUALIZACE KLIENTŮ
Stav: ZAKÁZANÝ PŘENOS
ID žadatele: MONIKER1571241
.
.
.
.
Jmenný server: NS3.DOMAINSERVICE.COM
Jmenný server: NS2.DOMAINSERVICE.COM
Jmenný server: NS1.DOMAINSERVICE.COM
Jmenný server: NS4.DOMAINSERVICE.COM

Už jsem jim o tom zaslal e-mail (stejně jako Edin) a aktualizuji vás, jakmile od nich něco uslyším.

Mám také několik žádostí o sledování společností, které nyní poskytují své služby tomuto jednotlivci.

Při procházení souborů záhlaví v několika e-mailech bylo jasné, že hacker používal Google Apps. Prosím, podívejte se na to. Doména je domaingame.org. A také prosím FIX! Gmail.

Nejprve prosím pomozte Edin a Florin získat jejich domény zpět. Jednou z chytrých věcí by bylo zkontrolovat přihlašovací IP adresy účtu pro všechny podobné hlášené případy. Například v případě Edin i náš (ne jistý Florinem) hacker používal IP adresu 64.72.122.156. (Což se mimochodem ukázalo být kompromitovaným serverem na Alpha Red Inc.) Nebo ještě jednodušší, stačí zamknout doménové jméno a požádat majitele současného účtu, aby prokázal svou totožnost. Protože hacker všude používal různé identity, nebylo by pro něj možné. Je ve vašem nejlepším zájmu zajistit, aby tato osoba již vaše služby nevyužívala.

Zavřete svůj účet! (to je to pro doménugames.org). Budou oceněny jakékoli další informace nebo pomoc, které můžete poskytnout.

Nejsem si zcela jistý, ale myslím, že DomainSponsor je společnost, která zpeněží ty domény, které tento chlap ukradl. Stalo se to s MakeUseOf.com a nyní se stalo s YouMP3.org.

5- To PayPal. COM: (Vaše PODPORA JE VHODNÁ)

Jsem si jistý, že to ani nečtou, tak vám to místo toho řeknu. Poslal jsem e-mail na [email protected] a varoval jsem je, že ten, kdo nám ukradl naši doménu a vydíral nás dříve, používal úč[email protected] (používá také některé další účty). Jen jsem je požádal, aby se na to podívali. Místo toho dostanu e-mail, který nemá nic společného s tím, co jsem řekl. Jde v podstatě o e-mailovou šablonu, která měla vypadat pravě a zasílat lidem, kteří byli spoofed. Pojďte! Platíme 3% provizní poplatek za každou transakci, nemůžete vy, lidé, poskytnout lepší zákaznickou podporu?

To je vše, co mám!

Ještě jednou je mi velmi líto toho, co se stalo Florinovi a Edinovi. Opravdu doufám, že brzy dostanou své domény zpět. Nyní je vše v rukou příslušných registrátorů. Ale co je nejdůležitější, chci vidět něco, co udělají velké sbory (nikoli zákazníci), aby tuto osobu chytili. Jsem si jistý, že to každý blogger ocení a pravděpodobně o tom dokonce napíše na svém blogu.

Je čas ZMĚNIT ;-)

s pozdravem
Aibek

image Credit: díky stroj pro obrázek „Mr. Cracker“