BREAKING: Nova Gmail varnostna napaka. Več domen se ukrade!

Oglas

Kot mnogi že veste 2. novembra, so nam ukradli domeno MakeUseOf.com. Za vrnitev domene nam je vzelo približno 36 ur. Kot smo že poudarili prej hekerju je nekako uspelo dobiti dostop do mojega Gmail računa in od tam do našega GoDaddy računa, odkleniti domeno in jo prestaviti k drugemu registrarju.

Celotno zgodbo si lahko ogledate na našem začasnem blogu makeuseof-temporary.blogspot.com/

Nisem nameraval ničesar objavljati o incidentu ali vlomilcu (osebi, ki krade domene) in kako mu je uspelo izvleči stran, razen če o tem nisem bil popolnoma prepričan. Dobro sem imel občutek, da gre za pomanjkljivost v Gmailu, vendar sem hotel to potrditi, preden objavim karkoli o tem na MakeUseOf. Radi imamo Gmail in njihovo javno objavljanje ni nekaj, kar bi si kdaj želeli narediti.

Zakaj torej o tem zdaj pisati?

V zadnjih dveh dneh se je zgodilo več stvari, zaradi katerih sem prepričan, da ima Gmail resne napake v varnosti in da bi se morali vsi zavedati tega. Še posebej v časih, ko vam to pripovedujejo posamezniki, kot je Steve Rubel

Kako narediti Gmail vaš GateWay v splet. Zdaj pa me ne razumite narobe, Gmail je AWESOME e-poštni program. Verjetno najboljši. Težava je v tem, da morda ni zanesljiv, ko gre za varnost. Kljub temu ne pomeni nujno, da vam bo bolje z Yahoo ali Live Mail.

Incident 1: MakeUseOf.com - 2. novembra

Ko so nam ukradli domeno, smo sumili, da je heker uporabil luknjo v Gmailu, vendar nismo bili prepričani. Zakaj sem sumil, da gre pri Gmailu? No, za eno stvar sem precej previden glede varnosti in redko izvajam kaj, v kar nisem prepričan. Prav tako sproti posodabljam svoj sistem in imam vse osnovne stvari, vključno z 2 monitorjema zlonamerne programske opreme, protivirusnim programom in dvema požarnima zidoma. Navadno uporabljam tudi močna in edinstvena gesla za vsak svoj račun.

Heker je dobil moj Gmail račun in tam nastavil nekaj filtrov, ki so mu sčasoma pomagali do dostopa do našega računa GoDaddy. Nisem vedel, kako mu je to uspelo. Je šlo za varnostno luknjo v Gmailu? Ali pa je šlo za keylogger v mojem računalniku? Nisem bil prepričan v to. Po incidentu sem skeniral svoj sistem z več odstranjevanji zlonamerne programske opreme in nisem našel ničesar. Prav tako sem šel skozi vsak tekaški postopek. Vse skupaj je čisto.

Nagnjena sem, da verjamem, da je bila težava z Gmailom.

Incident 2: YuMP3.org - 19. novembra

18. novembra sem prejel e-poštno sporočilo od osebe z imenom Edin Osmanbegović, ki vodi spletno mesto yump3.org. (Verjetno je našel moje e-poštno sporočilo prek Googla, saj je bil incident z MakeUseOf zajet v številnih priljubljenih blogih Edin mi je v svojem elektronskem sporočilu povedal, da je bila njegova domena ukradena in prestavljena k drugemu registrarju. Hitro sem poglobil yoump3 in videl, da precej uveljavljeno spletno mesto zdaj prikazuje stran s kmetijsko povezavo (točno tako kot v našem primeru).

Google (v zadnjem indeksu):

Domača stran YouMP3.org (prisotno):

Tu je kopija prvega e-poštnega sporočila, ki sem ga prejel od Edina:

Zdravo,
Imam enako težavo z mojo domeno.
Domena je prenesla iz Enoma v GoDaDDy.
O tej težavi nemudoma pošljem vozovnico za podporo.

Whois novega lastnika domene je:

Ime: Amir Emami
Naslov 1: P.O. Škatla 1664
Mesto: League City
Zvezna država: Teksas
Zip: 77574
Država: ZDA
Telefon: +1.7138937713
E-naslov:Podatki o upravnih stikih:
Ime: Amir Emami
Naslov 1: P.O. Škatla 1664
Mesto: League City
Zvezna država: Teksas
Zip: 77574
Država: ZDA
Telefon: +1.7138937713
E-naslov:

Tehnični kontaktni podatki:
Ime: Amir Emami
Naslov 1: P.O. Škatla 1664
Mesto: League City
Zvezna država: Teksas
Zip: 77574
Država: ZDA
Telefon: +1.7138937713
E-naslov:

E-poštni naslov je: [email protected]
Včeraj me je fant z e-poštnega naslova kontaktiral prek Gtalka.
Dejal je, da želi 2000 $ za domeno.
Potrebujem nasvet, prosim, obrnil sem se na Enom.

Hvala vam.

In uganite kaj, to je isti človek, ki je v začetku tega meseca ukradel MakeUseOf.com. Tudi z istega e-poštnega naslova smo bili kontaktirani: [email protected]. Tudi Edin mi je danes poslal e-pošto in potrdil, da je fant tudi preko svojega Gmail računa dobil dostop do svojega domena. Torej spet Gmail.

Edin je v svojem zadnjem e-poštnem sporočilu (prejetem danes) vključil hiter pregled dogodkov

Imam zgodovino, kako je naredil vse.

10. novembra sem bil lastnik.
13. novembra Mark Morphew.
18. novembra Amir Emami.

Obe osebi je uporabil [email protected].

Včeraj sem poslal prav tako vse v Moniker.
Preiskali bodo.

Incident 3: Cucirca.com - 20. novembra

To zadnje sporočilo je bil glavni razlog za to objavo. Prihaja iz Florina Cucirka, lastnika cucirca.com. Na spletnem mestu je alexa 7681 in po besedah ​​Florina vsak dan prejme več kot 100.000 obiskov.

Prvo e-poštno sporočilo Florina:

Živjo Aibek

Jaz sem v enaki situaciji, da je makeuseof.com ušel.

Sem Cucirca Florin in moja domena www.cucirca.com je bila
brez mojega dovoljenja prenesen iz mojega božjega računa.

Zdi se, da je tat vedel moje gmail geslo, ki je čudno.
Na moj račun je uspel ustvariti nekaj filtrov.

Priložil sem 2 posnetka zaslona.

Mi lahko pomagaš? Dajte mi nekaj podrobnosti, kako sem lahko prišel
iz teh slabih sanj? Danes sem zasledil to in jaz
mislim, da nocoj ne morem spati

Hvala vnaprej.

Florin Cucirca.

Florinu sem poslal elektronsko sporočilo in ga vprašal nekaj podrobnosti o njegovi domeni, ali je stopil v stik z GoDaddyjem in vse podatke, ki jih je do zdaj imel pri kraterju domene (izraz, ki se uporablja za krajo domene).

Drugo e-poštno sporočilo Florina:

Heker je imel dostop do mojega e-poštnega računa (gmail). Domena je gostila godaddy.
Na strežniku Firefox sem uporabil razširitev prijavitelja gmail. morda je tu velika hrošča.
Prenese domeno na register.com

Nisem se pogovarjal s hekerjem. Želim ga vrniti zakonito in če ni druge rešitve, ga bom morda plačal

www.cucirca.com ima Alexa Rank 7681 in več kot 100 000 obiskov dnevno.

Priložil vam bom 2 posnetka zaslona mojega gmail računa.

[email protected] in v domeni drugega [email protected]

Če iščete google po [email protected], boste našli to:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Mislim, da bi jih moral nekdo ustaviti.

Po e-pošti sem [email protected] in čakal na odgovor.

Kaj misliš? Ali bom vrnil svojo domeno?

Videti je, da je spet Gmail! Tu so delni posnetki zaslona iz tega, kar mi je poslal:

V Florinovem primeru je heker pred nekaj meseci spremenil lastništvo nad domeno. Cucirca.com je bil premeščen iz GoDaddy v Register.com. Ker je heker prestregel njegova e-poštna sporočila in ni nikoli zamenjal strežnikov imen, domnevam, da Florin ni imel pojma, da je nekaj narobe. Ko sem ga vprašal, kako je trajalo toliko časa, da je ugotovil, da mi je poslal naslednje:

Domen je prenesel v svoje ime dne 2008-09-05, tako da je strežnike imen pustil nespremenjene. Zato še nisem opazil, da so mojo domeno ukradli do včeraj, ko je moj prijatelj naredil kurzo za mojo domeno…

Nisem imel razloga, da bi preverjal čigave zapise, ker je bila domena registrirana več kot 7 let (do 2013-11-08)

Nisem prejel nobene e-pošte od te osebe.

In spet se zdi, da gre za isti fant! Zakaj tako mislim? Če preverite to povezavo, ki jo je Florin vključil v eno od svojih e-poštnih sporočil (tudi jaz sem jo dodal spodaj), boste videli da v nekaterih drugih podobnih incidentih (kdo ve, koliko dodatnih domen je ukradel) naslov [email protected] je bil omenjen skupaj z imenom „Aydin Bolourizadeh“. Isti e-poštni naslov se je pojavil tudi v pravilniku za posredovanje v Florinovem Gmail računu (glej prvi posnetek zaslona).

Ko so nama odvzeli MakeUseOf.com, me je provalnik prosil za 2000 $. In ko sem ga vprašal, kje in kako želi prejeti plačilo, mi je rekel, naj pošljem denar prek Western Union na naslednji naslov:

Aydin Bolourizadeh
puran
Ankara
Cukurca kirkkonaklar mah 3120006954

posnetek zaslona od http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Precej lepa sem, da je bil isti moški v vseh 3 incidentih in verjetno še 788 omenjenih v zgornji povezavi, vključno z domenami, kot so yxl.com, visitchina.net in visitjapan.net.

Ko sem iskal ta naslov v Googlu, sem tudi ugotovil, da ima v lasti naslednje domene (verjetno jih je tudi ukradel):

• Elli.com -

http://whois.domaintools.com/elli.com

• Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Predvidevam, da je fant res iz Turčije in bo verjetno prebival nekje na naslednjem območju.

• Cukurca kirkkonaklar mah 3120006954

Ankara, Turčija

Vemo tudi, da kot svoj e-poštni naslov uporablja [email protected]. Če torej vemo, kdo stoji za domainsgames.org, se bomo morda le približali. Pravzaprav je pred nekaj dnevi poslal e-pošto in me prosil, naj odstranim vse primerke njegove e-pošte s spletnega mesta in če tega ne upoštevamo, bi nas poslal DDOS.

Tu so njegove natančne besede:

Živjo,
Prosim vas, da iz svojega spletnega mesta odstranite moj e-poštni naslov ([email protected])!
Naredite to, če želite, da v prihodnosti ne bo težav, v nasprotnem primeru bom najprej začel imeti velik DDOS na vašem spletnem mestu in ga opustim…
Zelo sem seriuos, zato odstranite moj e-poštni naslov in ime domeinsgame.org

Torej, zdi se, da če lahko pridemo do ID-ja za domeinsgame.org, bomo morda našli svojega fanta in verjetno odkrili še veliko domen, ki jih je ukradel. Več si preberite v nadaljevanju. Zdaj pa pogovorimo o Gmailu.

Gmail Ranljivost

Se kdo spomni, kaj se je zgodilo z Davidom Aireyjem lani? Tudi njegova domena je bila ukradena. Zgodba je bila povsod po spletu.

– OPOZORILO: Googlova napaka glede varnosti GMail pušča moje poslovanje sabotirano
- Skupni napor obnavlja David Airey.com

Tako nama kot Davidu je uspelo vrniti domeno. Nisem pa prepričan, če imamo vsi tako srečo kot mi. Na žalost registrarji pri tem resnično ne bodo sodelovali, razen če bo zgodba dobila nekaj pozornosti. Torej, nobenega dvoma ni, na stotine ljudi tam ni preostalo nobene možnosti, razen da bodisi dajo svoje ime domene ali pa plačajo tipu.

Kakorkoli že, nazaj na Gmail.

David Airey se je v svojem prvem članku nanašal na ranljivost Gmail, ki je bila (če se ne motim) omenjena tukaj nekaj mesecev prej. Da povzamem:

Žrtev obišče spletno stran, medtem ko je prijavljena v GMail. Po izvedbi stran izvede večstranski PO / obrazec s podatki v enem od vmesnikov GMail in vbrizga filter v seznam filtrov žrtve. V zgornjem primeru napadalec napiše filter, ki preprosto išče e-poštna sporočila s prilogami in jih posreduje po e-pošti po svoji izbiri. Ta filter samodejno prenese vsa e-poštna sporočila, ki se ujemajo s pravilom. Upoštevajte, da bodo bodoča e-poštna sporočila tudi posredovana. Napad bo prisoten toliko časa, dokler bo žrtev imel filter na svojem seznamu filtrov, tudi če Google odpravi prvotno ranljivost, ki je bila vzrok za injekcijo.

izvirna stran: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Zanimiv del je, da posodobitev zgornje povezave GNU Citizen navaja, da je bila ranljivost odpravljena pred 28. septembrom 2007. Toda v Davidovem primeru se je incident zgodil decembra, 2-3 mesece pozneje.

Je bil torej izkoriščanje res popravljeno takrat? Ali je bil to Davidov primer nov podvig? In kar je najpomembneje, ali obstaja podobna napaka v varnosti v Gmailu ZDAJ?

Kaj naj storite zdaj?

(1) No, moj prvi nasvet bi bil, da preverim svoje e-poštne nastavitve in se prepričate, da vaša e-pošta ne bo ogrožena. Preverite možnosti in filtre za premikanje. Prepričajte se tudi, da onemogočite IMAP, če ga ne uporabljate. To velja tudi za račune za Google Apps.

(2) Spremenite kontaktni e-poštni naslov v občutljivih spletnih računih (paypal, registrator domene itd.) Iz svojega primarnega Gmailovega računa v nekaj drugega. Če ste lastnik spletnega mesta, nato spremenite kontaktno e-poštno sporočilo za račune gostitelja in registrarja v kakšno drugo e-pošto. Po možnosti na nekaj, za kar niste prijavljeni med brskanjem po spletu.

(3) Poskrbite, da svojo domeno nadgradite na zasebno registracijo, tako da se vaši kontaktni podatki ne prikažejo pri iskanju WhoIS. Če uporabljate GoDaddy, priporočam, da obiščete zaščiteno registracijo.

(4) Ne odpirajte povezav v svojem e-poštnem sporočilu, če ne poznate osebe, iz katere prihajajo. Če se odločite za odprtje povezave, se najprej odjavite.

NADGRADNJA:

Odkril sem nekaj dobrih člankov, ki razpravljajo o morebitnih napakah v varnosti kot odgovor na članek MakeUseOf:

– Dokazilo o zanesljivosti za varnost v Gmailu
– Komentarji o tem na YCombinatorju
- (nov. 26) Gmail varnost in nedavne lažne identitete [Uradni odgovor Googla]

Pomagaj nam ujeti fanta!

Poleg zgornjega poštnega naslova vemo tudi, da ga uporablja [email protected] kot njegov e-poštni naslov. Če torej ugotovimo, kdo ima zdaj domensgames.org, se bomo morda še približali. ali vsaj vrniti domene, ki jih je ukradel svojim lastnikom.

Zdaj je stvar domenskega imena domeinsgames.org zaščiten z Moniker in v njem skrivajo vse kontaktne podatke.

ID domene: D154519952-LROR
Ime domene: DOMAINSGAME.ORG
Ustvarjeno dne: 22. oktobra 2008, 07:35:56 UTC
Nazadnje posodobljeno: 8. november 2008 12:11:53 UTC
Datum poteka: 22. oktober 2009 07:35:56 UTC
Sponzorski tajnik: Moniker Online Services Inc. (R145-LROR)
Status: KLIJENT DELETE PREPOVEDAN
Status: PRENOSI KLIJENTA
Status: KLIJENT UPDATE PRENOVEN
Status: PRENOSEN PRENOS
ID registranta: MONIKER1571241
.
.
.
.
Imenski strežnik: NS3.DOMAINSERVICE.COM
Imenski strežnik: NS2.DOMAINSERVICE.COM
Imenski strežnik: NS1.DOMAINSERVICE.COM
Imenski strežnik: NS4.DOMAINSERVICE.COM

O tem sem jih že poslal po e-pošti (tako je tudi Edin) in vas bom posodobil tukaj, takoj ko bom od njih kaj slišal.

Prav tako imam nekaj prošenj, da sledim podjetjem, ki zdaj opravljajo svoje storitve temu posamezniku.

Ko ste v več e-poštnih sporočilih preiskovali datoteke z zaglavji, je bilo jasno, da heker uporablja Google Apps. Prosim, poglejte. Domena je domeinsgame.org. In tudi prosim FIX! Gmail.

Najprej prosim pomagajte Edinu in Florinu, da vrneta svoje domene. Pametno bi bilo preveriti IP naslove za prijavo računa za vse podobne prijavljene primere. Tako je na primer v Edinovem primeru in v našem (ni prepričan o Florinu) heker uporabljal 64.72.122.156 IP naslov. (Kar se je mimogrede izkazalo za ogroženi strežnik v Alpha Red Inc.) Ali še lažje, preprosto zaklenite ime domene in prosite imetnika tekočega računa, naj dokaže svojo identiteto. Ker je heker povsod uporabljal drugačne identitete, to ne bi mogel storiti. V vašem interesu je, da zagotovite, da ta oseba ne bo več uporabljala vaših storitev.

Zaprite njegov račun! (to je tista za domeinsgame.org). Morebitne dodatne informacije ali pomoč, ki jih lahko zagotovite, bodo cenjene.

Nisem prepričan, vendar mislim, da je DomainSponsor podjetje, ki zasluži tista področja, ki jih ta človek krade. Zgodilo se je z MakeUseOf.com in se zdaj še naprej pojavlja s YouMP3.org.

5- do PayPal. COM: (Vaša podpora je odlična)

Prepričan sem, da tega sploh ne bodo prebrali, zato vam bom samo povedal. Na [email protected] sem poslal e-sporočilo in jih opozoril, da je oseba, ki je ukradla našo domeno in nas izsiljevala prej, uporabljala račun [email protected] (uporablja tudi nekatere druge račune). Pravkar sem jih prosil, naj pogledajo. Namesto tega dobim elektronsko sporočilo, ki nima ničesar s tem, kar sem rekel. V bistvu gre za predlogo za e-pošto, ki naj bi bila videti pristna in poslana ljudem, ki so bili prevarani. Pozdravljeni! Ali plačamo 3% provizije za vsako transakcijo, ali ne morete ljudem zagotoviti boljše podpore strankam?

To je vse, kar imam!

Še enkrat mi je zelo žal, kaj se je zgodilo s Florinom in Edinom. Resnično upam, da bodo kmalu dobili svoje domene. Zdaj je vse v rokah zadevnih registrarjev. Najpomembneje pa je, da želim videti veliko korpusov (ne kupcev), da ujamejo to osebo. Prepričan sem, da bi vsak bloger tam to cenil in verjetno celo pisal o tem na svojem blogu.

Čas je za SPREMENJE ;-)

Lep pozdrav
Aibek

kreditna slika: zahvaljujoč stroj za vrhunsko podobo gospoda Crackerja