- Apocalipsa dupa Nemessis
- Cand dorinta de afirmare depaseste granitele bunului simt – PaxNwo un leecher ordinar
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac?
- Experiment social II – andimoisescu.ro
- Pentru posteritate
- In curand…
- “Hot” de id-uri messenger
- Chiar ca sunteti retardati
- Ce nu se invata la scoala – Vendetta (6)
- Apocalipsa dupa Nemessis in (82 Visits)
- Ce servicii de mail folositi? in (28 Visits)
- This is the end in (23 Visits)
- Hackersblog.org is now blog.rstcenter.com in (17 Visits)
- Short news in (16 Visits)
- La multi ani România, la multi ani românilor in (15 Visits)
- Inca o pierdere de timp in (11 Visits)
- Azi este ziua userilor hackersblog.org in (11 Visits)
- Raportare vulnerabilitati in (9 Visits)
- Contact si vulns report in (7 Visits)
- Mi s-a furat id-ul de messenger/adresa e-mail. Ce sa fac? in (229 Visits)
- Hi5.com coders read this in (28 Visits)
- SMS scam (1) in (21 Visits)
- Phishing Bancpost in (8 Visits)
- Dezinformare sau proasta informare? in (7 Visits)
- Phishing Raiffeisen cu atasament html in (5 Visits)
- Si tentativele de phishing pot fi amuzante in (5 Visits)
- Cum sa iti protejezi adresa e-mail si datele confidentiale din aceasta in (76 Visits)
- [Utilitare] Suna gratis de pe internet sau de pe iPhone in (41 Visits)
- Despre CSRF, hi5.com, cum sa trisezi la concursuri s.a.m.d. in (30 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/Hi5 (4) in (29 Visits)
- Ce nu se invata la scoala - (D)DOS (5) in (25 Visits)
- Virusi in clipuri video [how to] in (23 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam/mail (2) in (21 Visits)
- Ce nu se invata la scoala - Tipuri si tehnici spam (1) in (17 Visits)
- Yahoo! redirects - a big issue (with video) in (10 Visits)
- Ca musca in... in (9 Visits)
- usa.kaspersky.com hacked ... full database acces , sql injection in (123 Visits)
- Simpatie.ro, matrimoniale3x.ro, apetisant.ro, deliciu.ro , etc Sql injection in (72 Visits)
- Yahoo! epic fail - permanent xss unleashed in (71 Visits)
- Telegraph.co.uk hacked, sql injection in (53 Visits)
- RedTube.com ... The Free Sex Video Community in (43 Visits)
- Kaspersky Thailand hacked by TinKode in (38 Visits)
- Conquiztador Hacked Again in (33 Visits)
- Telegraph.co.uk hacked - when will they learn? in (29 Visits)
- F-Secure.com - SQL Injection + Cross Site Scripting in (27 Visits)
- In atentia BitDefender.com, SQL Injection in (26 Visits)
- Wannabe Hackers [2] - cum sa faci un virus by sppy_hacker in (24 Visits)
- Wannabe Hackers [1] - Cum sa hack-uiesti RapidShare-ul in (20 Visits)
- Digital Photocopiers Loaded With Secrets in (15 Visits)
- Hacker Uses XSS and Google Street View Data to Determine Physical Location in (12 Visits)
- OWASP Phishing demo in (7 Visits)
- Oldies but goodies - Freedom Downtime - The Story of Kevin Mitnick in (7 Visits)
- Hope 2603 – Kevin Mitnick - Life a Computer Hacker – Revealed in (6 Visits)
- Christopher "moot" Poole: The case for anonymity online in (6 Visits)
- Owasp5005 Part1 - New zero-day browser exploits - ClickJacking in (5 Visits)
- [Video] The History Of Hacking in (5 Visits)
- Se poate sparge parola de Yahoo? in (259 Visits)
- phpBB.ro hacked in (82 Visits)
- Cand dorinta de afirmare depaseste granitele bunului simt - PaxNwo un leecher ordinar in (47 Visits)
- Experiment social in (46 Visits)
- "Hot" de id-uri messenger in (39 Visits)
- Oare cum e pana la urma? in (39 Visits)
- Experiment social II - andimoisescu.ro in (37 Visits)
- Ce nu se invata la scoala – Vendetta (6) in (37 Visits)
- Concurs fara premii in (36 Visits)
- Forumul Andreei Balan spart in (33 Visits)
Posted on September 24th, 2009
Acest articol a fost scris in luna Iunie a acestui an dar din anumite motive am amanat publicarea lui pana astazi.
Se pare ca web 2.0 incepe sa ridice probleme majore datorita numarului din ce in ce mai mare de utilizatori ai serviciilor de tip social networks.
Twitter a cunoscut o uriasa crestere de utilizatori in ultima perioada, devenind o moda sa iti tii la curent cunostintele prin scurtele mesaje postate prin acest sistem. Este un serviciu util, amuzant, informativ, ce ajuta foarte mult la interactiunea oamenilor din online. Dar exista o mare problema. Datele membrilor nu sunt in siguranta.
Recentele probleme de securitate ma fac sa ma intreb cat mai dureaza pana cand personalitatile publice vor simti pe pielea lor ce inseamna sa folosesti un serviciu care permite (din cauza erorilor umane), accesul la datele lor confidentiale. Stiu, nu se gasesc datele bancare ale membrilor, nu exista in baza de date niciun SSN sau CNP, in schimb daca cineva obtine acces neautorizat in panoul de administrare poate gasi extrem de usor cea mai utila informatie ce-l poate ajuta la pornirea unui atac targetat si anume adresa de mail.
Citeam acum cateva sapamani articole despre pozele furate din pc-urile unor vedete internationale si singurul lucru la care am putut sa ma gandesc a fost “oare de unde au pornit atacurile?”. Un atacator nu are cum sa acceseze un mail sau un pc fara a avea un punct de pornire. Nimeni nu ar incerca sa infecteze milioane de pc-uri sau sa sparga milioane de mailuri doar pentru a gasi poze cu o singura persoana, deci un punct de pornire a fost necesar. Si mi-a venit in minte ceea ce s-a intamplat cu twitter de curand si la cat au fost de expuse informatiile utilizatorilor acestui serviciu.
Acum sa analizam putin o posibilitate de atac, asa cum as proceda eu.
Din moment ce pot vedea adresele de mail ale fiecarui user in parte si este (probabil) o chestiune de timp pana cineva isi da seama ca mi-am bagat degetele in sistemul de administrare, ce optiuni am? Sa ma chinui sa salvez cateva milioane de adrese mail total neinteresante daca nu sunt spammer sau sa caut adresele celebritatilor care prin intermediul twitter tin legatura cu fanii? Eu as merge pe ideea de a salva adresele celebritatilor.
Pasul urmator este de a afla cat mai multe despre sistemul de operare si browserele folosite de persoanele vizate. Se rezolva foarte usor chiar si cu ajutorul unor servicii publice si gratuite de tipul “readnotify.com”.
Pasul final este extrem de simplu. Se incepe bombardarea respectivilor cu diferite mailuri ce pot contine exploituri xss, exploituri de browser, troieni, scam-uri.
Din experienta pot spune ca in cazul unui xss minim 3 din 10 oameni atacati vor fi afectati. In cazul exploiturilor de browser sansele de reusita sunt mult mai mici dar totusi exista. In privinta mesajelor ce contin troieni nu stiu rata de conversie dar banuiesc ca macar 1 din 10 persoane downloadeaza respectiva aplicatie atata timp cat mesajul este credibil si cu siguranta atata timp cat insisti in a capata acces asupra contului sau a calculatorului unui individ, sansele tale cresc in functie de tacticile pe care le pui in aplicare. Scam-urile au avut si vor avea intotdeauna efectul scontat asupra utilizatorului incepator.
Nu vreau sa se inteleaga gresit, nu spun ca cele doua celebritati au fost victime colaterale ale celor care au “spart” twitter, dar este o posibilitate ca acest lucru sa se intample in viitor altor persoane. Informatiile sunt acolo si asteapta sa fie extrase de cineva care stie cum sa profite de greselile umane si din cate se vede intotdeauna exista un binevoitor care reuseste sa greseasca.
P.S. – ”unu” lucreaza de ceva timp pe cont propriu si s-a mutat aici.
Leave a Reply