BREAKING: Nový ochranný list služby Gmail. Ukradne sa viac domén!

Reklama

Ako mnohí z vás už vedia 2. novembra, doména MakeUseOf.com bola odcudzená. Získanie domény späť nám trvalo približne 36 hodín. Ako sme zdôraznili skôr hackerovi sa nejako podarilo získať prístup k môjmu účtu Gmail a odtiaľ k nášmu účtu GoDaddy, odomknúť doménu a presunúť ho k inému registrátorovi.

Celý príbeh môžete vidieť na našom dočasnom blogu makeuseof-temporary.blogspot.com/

Neplánoval som zverejniť nič o incidente alebo crackeri (osobe, ktorá kradne domény) a o tom, ako sa mu podarilo vytiahnuť ho, pokiaľ som si nebol úplne istý tým. Mal som dobrý pocit, že to bola bezpečnostná chyba v Gmaile, ale chcel som ju pred zverejnením čokoľvek potvrdiť o tom na MakeUseOf. Páči sa nám služba Gmail a jej zlá reklama nie je niečo, čo by sme kedy chceli robiť.

Tak prečo o tom písať teraz?

Za posledné dva dni sa stalo niekoľko vecí, vďaka ktorým som presvedčený, že Gmail má vážne bezpečnostné nedostatky, a každý by si mal byť toho vedomý. Najmä v čase, keď vám to povedia jednotlivci, ako je Steve Rubel

Ako si vyrobiť Gmail z GateWay na webe. Nechápte ma tu, Gmail je e-mailový program AWESOME. Najlepšie pravdepodobne. Problém je v tom, že nemusí byť spoľahlivý, pokiaľ ide o bezpečnosť. Ako už bolo povedané, nemusí to nevyhnutne znamenať, že budete mať lepšie možnosti s Yahoo alebo Live Mail.

Incident 1: MakeUseOf.com - 2. november

Keď bola naša doména ukradnutá, mali sme podozrenie, že hacker použil nejakú dieru v Gmaile, ale neboli sme si tým istí. Prečo som mal podozrenie, že to má niečo spoločné s Gmailom? Pre jednu vec som opatrný v oblasti bezpečnosti a len zriedka spustím čokoľvek, o čom nie som si istý. Tiež udržiavam svoj systém aktuálny a mám všetky náležitosti vrátane 2 monitorov škodlivého softvéru, antivírusu a 2 brán firewall. Tiež mám tendenciu používať silné a jedinečné heslá pre každý z mojich účtov.

Hacker pristúpil k môjmu účtu Gmail a nastavil tam niektoré filtre, ktoré mu nakoniec pomohli získať prístup k nášmu účtu GoDaddy. Nevedel som, ako sa mu to podarilo. Bola to bezpečnostná diera v Gmaile? Alebo to bol keylogger na mojom PC? Nebol som si tým istý. Po incidente som prehľadal svoj systém pomocou niekoľkých odstránení škodlivého softvéru a nič som nenašiel. Prešiel som tiež každým bežiacim procesom. Všetko je čisté.

Preto som naklonený presvedčeniu, že problém sa vyskytol v službe Gmail.

Incident 2: YuMP3.org - 19. november

18. novembra som dostal e-mail od niekoho menom Edin Osmanbegovic, ktorý stránky prevádzkuje yump3.org. (Pravdepodobne našiel môj e-mail prostredníctvom Google, pretože incident s MakeUseOf bol pokrytý niekoľkými populárnymi blogmi, mnohými z toho vrátane môjho e-mailového ID.) V jeho e-maile mi Edin povedal, že jeho doména bola ukradnutá a presťahovala sa do iného registrátora. Rýchlo som skočil na server yoump3 a zistil som, že skôr zavedená webová stránka teraz slúži na odkazovú farmu (presne ako v našom prípade).

Google (v poslednom indexe):

Domovská stránka YouMP3.org (prítomná):

Tu je kópia úplne prvého e-mailu, ktorý som dostal od spoločnosti Edin:

Ahoj,
Mám rovnaký problém s mojou doménou.
Doména sa preniesla z Enom na GoDaDDy.
Pokiaľ ide o tento problém, okamžite vám pošlem podporný lístok.

Whois nového vlastníka domény je:

Názov: Amir Emami
Adresa 1: P.O. Rámček 1664
Mesto: League City
Štát: Texas
ZIP: 77574
Krajina: US
Telefón: +1.7138937713
E-mail:Administratívne kontaktné informácie:
Názov: Amir Emami
Adresa 1: P.O. Rámček 1664
Mesto: League City
Štát: Texas
ZIP: 77574
Krajina: US
Telefón: +1.7138937713
E-mail:

Technické kontaktné informácie:
Názov: Amir Emami
Adresa 1: P.O. Rámček 1664
Mesto: League City
Štát: Texas
ZIP: 77574
Krajina: US
Telefón: +1.7138937713
E-mail:

E-mail je: [email protected]
Včera ma chlap z tejto e-mailovej adresy kontaktoval cez Gtalk.
Povedal, že chce pre doménu 2000 $.
Potrebujem poradiť, kontaktoval som Enom.

Ďakujem.

A hádajte čo, je to ten istý človek, ktorý začiatkom tohto mesiaca ukradol MakeUseOf.com. Aj my sme boli kontaktovaní z tej istej e-mailovej adresy: [email protected]. Edin mi tiež dnes poslal e-mail a potvrdil, že ten chlap mal tiež prístup k svojmu doménovému účtu prostredníctvom svojho účtu Gmail. Takže je to znova Gmail.

Vo svojom poslednom e-maile (prijatom dnes) Edin zahrnul rýchle zhrnutie udalostí

Mám históriu toho, ako urobil všetko.

10. novembra som bol majiteľom.
13. novembra Mark Morphew.
18. novembra Amir Emami.

Použil [email protected] pre obe osoby.

Včera som poslal aj Monthera každý deň.
Budú vyšetrovať.

Incident 3: Cucirca.com - 20. novembra

Tento posledný e-mail bol hlavným dôvodom tohto príspevku. Pochádza z Florina Cucirky, majiteľa cucirca.com. Táto stránka má hodnotenie alexa 7681 a podľa Florina dostáva viac ako 100 000 návštev denne.

Prvý e-mail od Florina:

Ahoj Aibek

Som v rovnakej situácii.

Ja som Cucirca Florin a moja doména www.cucirca.com bola
prevedené z môjho účtu bohyne bez môjho súhlasu.

Zdá sa, že zlodej poznal moje heslo do Gmailu, ktoré je zvláštne.
Podarilo sa mi vytvoriť niektoré filtre pre môj účet.

Pripojil som 2 snímky obrazovky.

Môžeš mi pomôcť? Dajte mi nejaké podrobnosti o tom, ako by som sa mohol dostať
z tohto zlého snu? Práve som o tom dnes našiel a ja
nemysli si, že dnes večer spím.

Vopred ďakujem.

Florin Cucirca.

Poslal som e-mailom Florinovi a opýtal som sa ho na niektoré podrobnosti o jeho doméne, či kontaktoval GoDaddyho a akékoľvek informácie, ktoré dostal na doménového crackera (termín používaný pre doménového zlodeja), chlapa.

Druhý e-mail od Florina:

Hacker mal prístup k môjmu e-mailovému účtu (gmail). Doména bola hosťovaná u kmotra.
Na firefox som použil rozšírenie gmail notifier. možno je tu veľká chyba.
Doménu preniesol na register.com

Nehovoril som s hackerom. Chcem to získať legálne a ak neexistuje iné riešenie, možno mu zaplatím

www.cucirca.com má Alexa Rank 7681 a denne vyše 100 000 návštev.

Prikladám vám 2 snímky obrazovky môjho účtu Gmail.

[email protected] a na druhej obrazovke [email protected]

Ak hľadáte google domé[email protected], nájdete toto:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Myslím, že by ich niekto mal zastaviť.

Poslal som e-mail na adresu [email protected] a čakám na odpoveď.

Co si myslis? Dostanem svoju doménu späť?

Zdá sa, že je to znova Gmail. Tu sú čiastkové snímky obrazovky z toho, čo mi poslal:

V prípade Florina hacker pred niekoľkými mesiacmi zmenil vlastníctvo domény. Cucirca.com bol prevedený z GoDaddy na Register.com. Keďže hacker zachytával jeho e-maily a nikdy sa nezmenil servery mien, domnievam sa, že Florin netušil, že niečo nie je v poriadku. Keď som sa ho spýtal, ako to, že mu trvalo tak dlho, kým zistil, pošle mi nasledujúce:

Dňa 2008-09-05 doménu previedol na svoje meno a ponechal menné servery nezmenené. Preto som si nevšimol, že moja dooména bola ukradnutá až do včerajška, keď môj priateľ urobil niekoho v mojej doméne ...

Nemal som dôvod kontrolovať záznamy whois, pretože doména bola zaregistrovaná viac ako 7 rokov (do 2013-11-08)

Od tejto osoby som nedostal žiadne e-maily.

A opäť sa zdá, že je to ten istý chlap! Prečo si to myslím? Ak začiarknete odkaz, ktorý Florin zahrnul do jedného zo svojich e-mailov (tiež som ho pridal nižšie), uvidíte že v niektorých podobných prípadoch (kto vie, koľko ďalších domén ukradol, ako je tento), e-mail adresa [email protected] bola uvedená spolu s názvom „Aydin Bolourizadeh“. Ten istý e-mail sa objavil aj v pravidle preposielania v účte Florina v Gmaile (pozri prvú snímku obrazovky).

Keď nás MakeUseOf.com prevzali, cracker ma požiadal o 2000 $. A keď som sa ho spýtal, kde a ako chce dostať peniaze, povedal mi, aby som posielal peniaze cez Western Union na túto adresu:

Aydin Bolourizadeh
Turecko
Ankara
Cukurca kirkkonaklar mah 3120006954

snímka obrazovky z http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Som celkom pekná, že to bol ten istý chlap vo všetkých troch incidentoch a pravdepodobne 788 ďalších uvedených v horeuvedenom odkaze, vrátane domén ako yxl.com, visitchina.net a visitjapan.net.

Keď som hľadal túto adresu na Google, zistil som tiež, že vlastní nasledujúce domény (pravdepodobne ich tiež ukradol):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Predpokladám, že ten chlap je skutočne z Turecka a pravdepodobne bude bývať niekde v nasledujúcej oblasti.

• Cukurca kirkkonaklar mah 3120006954

Ankara, Turecko

Tiež vieme, že ako e-mail používa [email protected]. Ak teda vieme, kto stojí za doménami doméngames.org, možno by sme sa o krok priblížili. V skutočnosti poslal e-mailom pred niekoľkými dňami žiadosť a požiadal ma, aby som zo stránky odstránil všetky výskyty jeho e-mailu, a ak ich nedodržíme, DDOS nás použije.

Tu sú jeho presné slová:

Ahoj,
Žiadam vás o odstránenie mojej e-mailovej adresy ([email protected]) z vášho webu!
Urobte to, ak nechcete mať v budúcnosti žiadny problém. V prvom rade začnem mať na vašom webe veľké DDOS a znížim ho ...
Som veľmi seriuos, takže odstráňte môj e-mail a meno domaingame.org

Zdá sa teda, že ak sa dokážeme dostať k ID za doménou doméngame.org, možno by sme sa dostali k nášmu chlapovi a pravdepodobne by sme odhalili mnoho ďalších domén, ktoré ukradol. Prečítajte si viac o tom nižšie. Teraz sa bavme o Gmaile.

Chyba zabezpečenia služby Gmail

Pamätá si niekto, čo sa stalo minulý rok s Davidom Aireym? Jeho doména bola tiež ukradnutá. Príbeh bol na celom webe.

– VAROVANIE: Zlyhanie zabezpečenia spoločnosti Google pomocou GMail opúšťa moju firmu sabotovanú
- Kolektívne úsilie obnovuje Davida Airey.com

My aj David sme sa doméne dostali späť. Nie som si však istý, či majú všetci to šťastie ako my. Registrátori, bohužiaľ, s vami skutočne nespolupracujú, pokiaľ sa príbehu nevenuje určitá pozornosť. Takže nepochybujem, že sú tam stovky ľudí, ktorí nemajú žiadnu šancu, ale buď dať svoje doménové meno, alebo zaplatiť chlapovi.

Každopádne späť do Gmailu.

David Airey vo svojom prvom článku hovoril o zraniteľnosti v Gmaile, o ktorej sa hovorilo (ak sa nemýlim) tu o niekoľko mesiacov skôr. Sumarizovať:

Obeť pri prihlásení do služby GMail navštívi stránku. Po vykonaní vykoná stránka POST pre multipart / form-data do jedného z rozhraní GMail a vloží filter do zoznamu filtrov obete. Vo vyššie uvedenom príklade útočník zapíše filter, ktorý jednoducho vyhľadá e-maily s prílohami a pošle ich e-mailom podľa vlastného výberu. Tento filter automaticky prenesie všetky e-maily, ktoré zodpovedajú tomuto pravidlu. Nezabudnite, že sa budú posielať aj budúce e-maily. Útok zostane prítomný dovtedy, kým obeť nebude mať vo svojom zozname filtrov filter, aj keď spoločnosť Google opraví pôvodnú zraniteľnosť, ktorá bola príčinou injekcie.

pôvodná stránka: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Zaujímavou časťou je, že aktualizácia vyššie uvedeného odkazu GNU Citizen uvádza, že zraniteľnosť bola opravená pred 28. septembrom 2007. Ale v prípade Davida sa incident stal v decembri, o 2-3 mesiace neskôr.

Bolo teda zneužitie skutočne opravené? Alebo to bolo nové zneužitie v prípade Davida? A čo je najdôležitejšie, existuje v Gmaile podobná bezpečnostná chyba TERAZ?

Čo by ste mali urobiť teraz?

(1) Mojou prvou radou by bolo skontrolovať nastavenia e-mailu a ubezpečiť sa, že váš e-mail nie je ohrozený. Skontrolujte možnosti a filtre. Nezabudnite tiež zakázať protokol IMAP, ak ho nepoužívate. Platí to aj pre účty Google Apps.

(2) Zmeňte kontaktný e-mail vo svojich citlivých webových účtoch (paypal, registrátor domény atď.) Z primárneho účtu Gmail na niečo iné. Ak vlastníte webovú stránku, zmeňte kontaktný e-mail pre svoje účty hostiteľa a registrátora na iný e-mail. Najlepšie na niečo, k čomu nie ste prihlásení pri prehliadaní webu.

(3) Nezabudnite inovovať svoju doménu na súkromnú registráciu, aby sa vaše kontaktné údaje nezobrazovali pri vyhľadávaniach WhoIS. Ak ste na GoDaddy, odporúčam vám ísť s chránenou registráciou.

(4) Neotvárajte odkazy vo svojom e-maile, ak nepoznáte osobu, z ktorej pochádzajú. A ak sa rozhodnete otvoriť odkaz, najprv sa odhláste.

UPDATE:

V reakcii na článok MakeUseOf som objavil niekoľko dobrých článkov diskutujúcich o možnej bezpečnostnej chybe:

– Protokol o falošnej bezpečnosti Gmail
– Komentáre k tomuto na YCombinator
- (nov. 26'th) Zabezpečenie služby Gmail a nedávne phishingové aktivity [Oficiálna odpoveď od spoločnosti Google]

Pomôžte nám chytiť chlapa!

Okrem vyššie uvedenej poštovej adresy tiež vieme, že používa [email protected] ako jeho e-mail. Ak teda zistíme, kto teraz vlastní doménu doméngames.org, môžeme sa o krok priblížiť. alebo prinajmenšom vráti domény, ktoré ukradol svojim vlastníkom.

Teraz ide o to, že názov domény domaingames.org je chránený spoločnosťou Moniker a skryjú pre ňu všetky kontaktné informácie.

ID domény: D154519952-LROR
Názov domény: DOMAINSGAME.ORG
Vytvorené dňa: 22.10.10.2008 07:35:56 UTC
Posledná aktualizácia: 08. november 2008 12:11:53 UTC
Dátum exspirácie: 22.10.10.2009 07:35:56 UTC
Sponzor registra: Moniker Online Services Inc. (R145-LROR)
Stav: ZAKÁZANÉ KLIENTA
Stav: ZAKÁZANÝ PRENOS KLIENTA
Stav: ZAKÁZANÉ AKTUALIZOVANIE KLIENTOV
Stav: ZAKÁZANÝ PRENOS
ID registrujúceho: MONIKER1571241
.
.
.
.
Názov servera: NS3.DOMAINSERVICE.COM
Názov servera: NS2.DOMAINSERVICE.COM
Názov servera: NS1.DOMAINSERVICE.COM
Názov servera: NS4.DOMAINSERVICE.COM

Už som o tom informoval e-mailom (podobne ako Edin) a aktualizujem vás tu, len čo od nich niečo počujem.

Mám tiež niekoľko žiadostí o sledovanie spoločností, ktoré teraz poskytujú svoje služby tomuto jednotlivcovi.

Pri prehľadávaní súborov hlavičky v niekoľkých e-mailoch bolo zrejmé, že hacker používal službu Google Apps. Prosím, pozrite sa do toho. Doména je doménagames.org. A tiež prosím, OPRAVIŤ! Gmail.

Najskôr prosím pomôžte Edinovi a Florinovi získať ich domény späť. Jednou z chytrých vecí by bolo skontrolovať prihlasovacie IP adresy účtu pre všetky podobné hlásené prípady. Napríklad v prípade Edin aj v našom prípade (nie sme si istí Florinom) hacker používal IP adresu 64.72.122.156. (Ktorý sa mimochodom ukázal byť kompromitovaným serverom na Alpha Red Inc.) Alebo ešte jednoduchšie, jednoducho zamknite názov domény a požiadajte majiteľa súčasného účtu, aby preukázal svoju totožnosť. Keďže hacker všade používal rôzne identity, bolo by pre neho nemožné urobiť to. Je vo vašom najlepšom záujme zabezpečiť, aby táto osoba už nevyužívala vaše služby.

Zatvorte jeho účet! (to je doména pre doménugames.org). Budú ocenené akékoľvek ďalšie informácie alebo pomoc, ktoré môžete poskytnúť.

Nie som si úplne istý, ale myslím si, že DomainSponsor je spoločnosť, ktorá speňažuje tie domény, ktoré tento chlap ukradol. Stalo sa to s MakeUseOf.com a teraz sa stalo s YouMP3.org.

5- To PayPal. COM: (Vaša PODPORA JE VHODNÁ)

Som si istý, že to ani nečítajú, a namiesto toho vám to len poviem. Poslal som e-mail na adresu [email protected] a varoval som ich, že osoba, ktorá nám ukradla našu doménu a vydierala nás predtým, používa úč[email protected] (používa aj niektoré ďalšie účty). Len som ich požiadal, aby sa na to pozreli. Namiesto toho dostanem e-mail, ktorý nemá nič spoločné s tým, čo som povedal. V podstate ide o e-mailovú šablónu, ktorá mala vyzerať originálne a odoslaná ľuďom, ktorí boli spoofed. Pod! Za každú transakciu platíme 3% provízny poplatok. Nemôžete vy, ľudia, poskytnúť lepšiu zákaznícku podporu?

To je všetko, čo mám!

Ešte raz je mi veľmi ľúto, čo sa stalo Florinovi a Edinovi. Dúfam, že čoskoro dostanú svoje domény späť. Teraz je to všetko v rukách príslušných registrátorov. Ale čo je najdôležitejšie, chcem vidieť niečo, čo veľké zbory (nie zákazníci) urobia, aby chytili túto osobu. Som si istý, že každý bloger, ktorý by tam bol, by to ocenil a pravdepodobne o ňom dokonca napíše na svojom blogu.

Je čas ZMENIŤ ;-)

S Pozdravom
Aibek

image Credit: vďaka stroj pre horný obrázok pána Crackera