Cand incepe operatoarea sa insiruie meniul spuneti in microfon “free call”.

O sa inceapa probabil o reclama care dureaza cateva secunde, dupa care robotul va anunta sa tastati numarul de telefon folosind country code in fata numarului.

Folositi dial-pad-ul de la YM sau Skype pentru a tasta numarul sub forma 40722889933.

In cazul in care robotul spune imediat dupa terminarea reclamei ca liniile sunt ocupate trebuie sa repetati procesul. Uneori merge de-abia dupa vreo 3 incercari.

Pentru iPhone si orice alt telefon de ultima generatie folositi Skype pentru a proceda asa cum am spus mai sus.

Durata convorbirii este de 5 minute dupa care trebuie sa urmati din nou pasii de mai sus.

Puteti suna oriunde in lume indiferent de reteaua telefonica.

Nu functioneaza si pe numere speciale cu suprataxa.

Subiectul de azi este distribuirea de materiale aflate sub copyright dar sub infatisarea unei imagini perfect valide.

Folosind o functie a Windows XP (nu stiu pe ce alte sisteme de operare mai functioneaza), putem uni doua fisiere cu extensii diferite. In cazul nostru va fi un fisier mp3 + un fisier .jpg. Sa spunem ca aceste fisiere poarta numele moloko.mp3 si andreea.jpg.

Punem in partitia C:\ ambele fisiere, deschidem CMD, ajungem in C:\ folosind cd\ si folosim urmatoarea comanda:

copy andreea.jpg /b + moloko.mp3 /b test.gif

Bun. Acum avem un fisier nou, numit test.gif. Exemplu => http://i36.tinypic.com/2nhq1wl.jpg

Acel test.gif  odata deschis afiseaza exact imaginea pe care o contine fisierul andreea.jpg. Daca ii schimb extensia din GIF in MP3 si rulez test.mp3 voi asculta melodia din moloko.mp3.

Nelamurirea mea este urmatoarea. Daca imi deschid un serviciu de image hosting pe care se uploadeaza zilnic filme si melodii dar sub forma prezentata mai sus, pot fi acuzat de distribuire ilegala a materialelor aflate sub copyright?

Trebuie sa tinem cont de urmatoarele:

1. O poza perfect functionabila care afiseaza o imagine ramane totusi o poza. Daca nu iti spune nimeni ca poza de 3mb are un mp3 ascuns in ea, ai cum sa iti dai seama singur de asta?

2. Nu este arhiva, imagine gen .iso sau executabil.

3.  Extensia si headerele sunt respectate si trec de orice filtru la upload.

4. Nu este problema mea ca proprietar de site ca o poza are mai mult de 100 kilo. La cum evolueaza tehnica digitala o imagine poate sa aiba si 2GB. Deci in afara de spatiul ocupat pe hdd si banda mancata la fiecare afisare nu ma afecteaza cu absolut nimic o imagine PERFECT VALIDA.

Astept sa-mi spuneti parerile voastre legate de subiectul asta. Parerea mea personala este ca o astfel de metoda poate trece peste chichitele juridice ce te pot baga in belele si ar putea fi folosita de trackere o buna perioada de timp. Totusi nu am idee daca ma insel sau nu si ramane doar o parere a cuiva care nu stie fiecare paragraf de lege.

Lectie basic

<img> tag nu reprezinta doar o modalitate de a include imagini, ci poate fi extrem de util cand vrem sa executam (mai mult sau mai putin limitat) anumite scripturi. Mai tineti minte metoda prezentata in cazul ro-online.ro? Acum vom face exact acelasi lucru cu Yahoo! dar cu un rezultat diferit.

Categoria “enervant” .

Daca vrem sa ne delogam de pe contul Yahoo! accesam (dupa un mic redirect), linkul  https://login.yahoo.com/config/login?logout=1. Cum putem face acelasi lucru automat cuiva fara a mai fi necesara contributia persoanei respective? Simplu. Ii trimitem in mail un mesaj html ce contine acel link in <img> tag.

Adica asa <img src=https://login.yahoo.com/config/login?logout=1>.

Persoana targetata va fi delogata automat dupa ce va citi mesajul html.

La fel se poate proceda in cazul oricarui site ce permite inserarea imaginilor din surse externe fara a verifica in prealabil daca este vorba intr-adevar de o imagine. Pe un forum spre exemplu in marea majoritate a cazurilor se foloseste BBCode. Simpla diferenta in cazul BBCode este faptul ca tagurile pe care le introducem pentru a afisa o poza vor arata cam asa:

[img]http://site.com/image.jpg[/img]

iar pentru a deloga un user vom folosi

[img]http://site.com/logout.php[/img]

Totusi de retinut ca de ceva timp multe din aceste forumuri filtreaza cu succes astfel de “atacuri”, unele verificand daca este vorba de o imagine reala, altele generand un token unic si necesar pentru fiecare utilizator, token ce nu poate fi aflat (de la caz la caz) de catre o alta persoana. Exemplul cel mai bun de site ce foloseste token-uri este twitter.com.

In categoria utile vorbim in general de voturi. Eu cam asa vad situatia, poate ma insel, poate nu. Cel mai bun exemplu este articolul despre site-ul teapa ro-online.ro. In schimb acum voi da ca exemplu jocul Bitefight si metodele pe care le-am folosit eu pentru a capata “muscaturi”.

O muscatura pe Bitefight inseamna castig in aur. O chestie care cica e utila in joc pentru ca aurul iti permite sa iti upgradezi caracterul.

Pentru a capata o muscatura trebuie sa ti se acceseze linkul personal. Linkul arata cam asa http://s7.bitefight.ro/c.php?uid=17645, singura diferenta de la jucator la jucator fiind doar numarul din valoarea uid=.

Ce am facut? La inceput m-am folosit de reteaua 3xforum.ro pentru ca permitea adaugarea de imagini externe fara a verifica linkul. Mi-am facut cont pe cel mai mare forum din reteaua lor, mi-am pus la semnatura linkul folosind BBCode si am inceput sa postez. 5-10 posturi pe saptamana in topicurile cele mai vizitate imi aduceau mii de muscaturi pe Bitefight. Toti cei care vizitau pagina unde postasem eu imi generau automat o muscatura.

In timp nu a mai functionat smecheria si am zis sa fac acelasi lucru pe hi5. Acolo m-am lovit de o asa zisa restrictie care nu imi permitea sa postez linkul respectiv in <img> tag. S-a rezolvat in 2 minute punand la sfarsitul linkului extensia .jpg. Linkul meu arata acum asa:

<img src=”http://s7.bitefight.ro/c.php?uid=17645 .jpg”>

Si da, se executa sub forma asta.

Mai exista si alte metode extrem de folositoare si la indemana oricui pentru a genera astfel de voturi dar momentan nu voi da mai multe detalii.

Partea amuzanta poate fi considerata in acelasi timp si enervanta de catre persoanele afectate. Acum voi vorbi despre minunatul Hi5.com.

In urma cu ceva timp am descoperit o serie de vulnerabilitati XSS si CSRF in hi5. Pot sa zic ca au fost in jur 10 XSS-uri permanente pe care le-am gasit impreuna cu Kenpachi in sistemul lor si care si-au facut treaba la timpul respectiv .

CSRF-uri inca  sunt cu nemiluita si azi va voi arata cateva extrem de simple. Pentru cei interesati de vechile scapari ale hi5 pot citi mai multe informatii la adresa http://hackpedia.info/viewtopic.php?f=21&t=4661 (ignorati mesajul final al postului meu). Ceea ce vedeti acolo nu mai functioneaza din momentul in care am facut acel articol (a iesit o nebunie totala), dar pentru schimbarea limbii am gasit o noua metoda ce inca da rezultate.

Acum ca exemplu vom folosi introducerea automata pe profile a aplicatiilor din reteaua interna a hi5. Eu ii spun japca, voi ii puteti spune cum vreti. Puteti testa daca doriti pentru ca nu e ilegal

Adaugati in profilul vostru la rubrica About urmatoarele:

<img src=”http://hi5.com/friend/apps/entry/www.seafight.com/hi5.php?view=preview&from=gallery& .jpg” />

Cele doua tag-uri vor include automat acele aplicatii pe profilele celor care va viziteaza si sunt logati pe conturile lor. Lista intreaga de aplicatii o gasiti la adresa http://hi5.com/friend/apps/gallery.do. De acolo luati linkurile catre acele aplicatii si le introduceti in tagurile de imagini, folosind extensia .jpg la sfarsit.

La ce ajuta sa facem asta pe hi5? Daca aveti 13 ani si vreti sa va dati mari si tari in fata prietenilor o sa considerati ca e folositor ce am scris in articol. Pentru oamenii cu ceva minte e doar un exemplu amuzant.

Acum trecem la partea finala, cea care poate provoca pagube.

Sa spunem ca un forum contine anumite topicuri ce am vrea sa dispara dar adminul nu vrea sa le stearga. Daca stim care este structura forumului si modul in care functioneaza pe partea de administrare  putem sa ducem la bun sfarsit atacul fara ca cineva sa isi dea seama imediat.

Ca simplu exemplu dam http://site.com/forum.

Topicurile sunt sub forma http:// site.com/forum.php?topic_id=1000.

Pentru stergerea topicului adminul trebuie sa acceseze linkul http:// site.com/forum.php?del_topic=1000.

Ce trebuie facut? Implementam undeva pe forum tag-ul <img src=”http:// site.com/forum.php?del_topic=1000″> (probabil sub forma de BBCode) si asteptam ca adminul sa acceseze pagina respectiva si automat sa stearga topicul. In cazul in care nu se poate injecta html pe forum se poate folosi o pagina externa si apoi se posteaza un link (cat mai atragator) catre aceasta.

In cazul browserelor de ultima generatie se pastreaza sesiunea activa chiar daca este deschis un link in alta pagina asa ca sunt sanse foarte mari de reusita.

De retinut ca acesta e doar un exemplu si ca majoritatea cms-urilor din ziua de azi nu permit astfel de metode, singura optiune ce mai poate fi aplicata din cand in cand fiind folosirea XMLHttpRequest pentru a forta browserul sa trimita POST content. Prin metoda asta am reusit sa schimb descrierea a cateva sute de useri pe Bitefight.ro si sa le activez optiunea de stergere a contului.

Ceea ce am scris in acest articol este foarte basic si Cross Site Request Forgery NU INSEAMNA numai adaugarea linkurilor in taguri de imagine.

Have fun

De ce insistam atat de mult pe securitatea site-urilor? Pentru ca acele site-uri detin cele mai importante date ale oamenilor. Pentru ca o vulnerabilitate banala poate insemna acces la datele noastre confidentiale. Pentru ca informatia inseamna putere si de multe ori bani. Deci stim motivatia celor care ataca diferite site-uri cu scopul de a extrage cat mai multe date confidentiale de pe ele. 

Exemplu: Mihaita isi face cont pe www.site.com, completeaza cu datele lui reale formularul de inscriere si cu parola universala pe care si-o trece la orice serviciu online. Ca sa nu se oboseasca prea mult foloseste si adresa lui de mail in care pastreaza diferite informatii destul de importante. Site-ul este mare, are milioane de utilizatori, este verificat la sange de o gramada de experti. Ce sa mai, e un site in care poti sa ai incredere orbeasca. Dar apare “cracheru” care acceseaza “fara permisiune” baza de date a site-ului. Ce poate sa faca acum daca tot are acces? Hai sa extraga tot ce e in baza de date. Si se apuca de extras nenea. 

Dupa extragerea informatiilor din db se incepe verificarea unor usere si a unor parole. Uite ca la userul Mihaita s-a potrivit parola de pe site cu cea pe care o are la mail. Si “cracheru” se logheaza pe mailul lui Mihaita ca nu e nimeni care sa ii dea un capac dupa ceafa si sa ii zica “nu face asta ma”. A gasit poze cu nevasta lui Mihaita. Hmm, cam indecente. Bun, le trimite la pitzipoanca si la cocalari sa faca misto de fraier. Ia uite are si mesaje venite de la o banca. Ii da un forgot password si… voila, acces in contul bancar al lui Mihaita. Hai ca s-a facut “cracheru” de ceva bani. Nici nu a fost prea greu.

Exemplu din viata reala (da, chiar se foloseste metoda urmatoare): 

Sa spunem ca esti pe trilulilu si ii lasi lui Vasilica o injuratura la comentarii. Cel pe care l-ai deranjat are ceva cunostinte IT dar stie ca nu are sanse sa sparga trilulilu, asa ca se apuca sa caute nickname-ul tau pe net. Cu cat userul tau e mai diferit de cuvintele comune, cu atat are mai multe sanse sa gaseasca rapid toate detaliile necesare despre tine. Rezultatele sunt imbucuratoare. Cel vizat are conturi pe vreo 15 site-uri. 

Tot ce ramane de facut e sa ia la puricat fiecare site in parte. Din 15 site-uri sunt sanse mari (o sa dovedesc asta intr-un articol viitor) ca macar unul singur sa fie vulnerabil la una dintre metodele de exploatare. In clipa in care unul dintre cele 15 site-uri a fost spart si s-a reusit extragerea informatiilor, esti foarte aproape de un mic dezastru. Ce poate face Vasilica cu informatiile tale extrase de pe alt site?

1. Iti afla adresa de mail.

2. Iti afla parola pe care ai folosit-o la inregistrare.

3. Verifica daca parola extrasa e aceeasi cu cea de la mail si cu cea folosita la conturile de pe celelalte site-uri. 

4. Daca e aceeasi parola si la mail:

- iti poate lua mailul cu totul

- poate sterge tot ce se afla in mail

- se poate folosi de adresele din lista ta de contacte pentru a-ti trimite un troian de la o persoana in care ai incredere (detalii despre mail spoof aici)

- iti poate vedea toate serviciile online la care te-ai inscris

- iti poate afla toate celelalte parole pe care le mai folosesti la serviciile online

- publica pe net detaliile picante pe care le tii pe mail

5. Daca nu e aceeasi parola la mail:

- incearca sa foloseasca metode de phishing pentru a te convinge sa-i dai parola

- incearca sa foloseasca vulnerabilitati xss pentru a-ti fura cookie

- iti poate trimite software de tip spyware pentru a capata acces la computerul tau

- iti poate trimite mailuri de genul celor readnotify prin care sa iti afle ip-ul si alte informatii despre browserul pe care il folosesti, sistemul de operare etc., informatii ce pot fi utile pentru un nou val de atacuri.

6. Iti afla ip-ul. Ceea ce poate duce la un mic scan pe acel ip in cautarea  unei brese din calculatorul tau (slabe sperante de reusita), sau iti poate administra un atac de tip denial of service*. 

*cei mai afectati ar trebui sa fie doar cei cu ip-uri statice, cele dinamice acordand fara voie un mic plus de protectie deoarece la reconectare se aloca un ip diferit. Daca gresesc puteti sa-mi atrageti atentia. De fapt sunt sigur ca ati face asta fara ezitare, diavoli mici

7. Poate afla din datele contului tau numarul de telefon, unde locuiesti sau care este numele tau real (de la caz la caz si in functie de site).

Astfel faptul ca ai folosit aceeasi parola la mai multe servicii si ai avut grija sa te inscrii cu acelasi nickname pe unde ai apucat iti poate aduce destule probleme, dar problema cea mai mare e ca toti suntem la mana sys adminilor si a coderilor. In functie de cheful si cunostintele lor, datele noastre pot fi in siguranta sau in pericol.  Ce am spus eu mai devreme acopera doar o mica parte din totalul posibilitatilor de atac combinat.

Intrebare generala retorica: daca stii ca ai scapa de problemele de mai sus pentru ca niste talhari, hoti, nenorociti, cum ne spun conationalii, au fortat webmasterul sa isi securizeze aplicatia, ai mai spune ca vrei sa ne vezi la inchisoare?

Se pot scrie extrem de multe randuri referitoare la intimitatea unui utilizator de internet. Eu voi scrie pentru moment doar cateva aspecte importante.

Dupa cum spunea si RSnake intr-un articol pe care nu am avut rabdarea sa il mai caut, oamenii vor sa dea click pe link-uri si sa se inregistreze pe cat mai multe site-uri. Primesti un link pe messenger? Da click pe el fara sa te gandesti prea mult. Intri pentru prima data pe un site? Ai grija sa te inregistrezi pe el cu datele tale reale, cu adresa ta de mail in care iti tii datele bancare si documente personale. Stai asa putin! De ce sa nu folosesti aceeasi parola peste tot?

Nu stiu cati dintre voi cunosc povestea lui VisUrat si intamplarile lui cu un joc online romanesc. Varianta “pe scurt” este urmatoarea: s-a luat in gura cu adminii site-ului respectiv, adminii au avut grija sa ii inchida contul si sa testeze in mai multe locuri parola pe care si-o setase baiatul cand si-a facut cont pentru a se juca. Si ca sa vezi, parola din joc (care se spune ca era salvata in plain text) era aceeasi cu cea a contului de mail pe care VisUrat il folosea si pentru comunicarea pe messenger.  Au urmat o serie de mass-uri pline de cuvinte dulci la adresa celor din lista si cam asta a fost. Baiatul a luat masuri, a reclamat, el stie mai exact ce a rezolvat si daca acuzatiile s-au dovedit a fi reale. Cred ca va raspunde daca il intrebati. 

Revenim. Conturile importante de mail nu trebuiesc folosite la inscrieri pe site-uri inutile. Nu trebuiesc folosite la instant messaging. Nici sa le pui pe pagina personala de hi5. NICIODATA (si chiar sunt foarte serios cand spun NICIODATA) nu trebuie sa folositi aceeasi parola pe care o aveti la conturile importante (de orice fel), pentru a va inscrie pe diferite site-uri. (Foarte) preferabil e sa folositi si o adresa de mail pe care nu tineti nimic important. Intr-un articol viitor o sa va explic mai amanuntit de ce.

Acum partea dulce a articolului. Unii dintre cititori stiu aceste metode asa ca s-ar putea sa se plictiseasca.

Dam o situatie fictiva ca ne place sa facem asta.

Leana e vedeta. Deci persoana publica. Si Leana are cont de mail la Yahoo! (doar un exemplu). Yahoo! mail are optiunea  de forgot password. Eu vreau sa ii iau parola. Pana aici e destul de simplu nu? Bun. Trecem mai departe.

Dau click pe “forgot password”, trec peste chestiile evidente si ajung pe pagina unde se cer urmatoarele:

1. Birthday – Data nasterii

2. Country of residence – Tara

3. Postal Code – Cod Postal 

Acum totul tine de informatiile gasite pe net si de putin noroc. Daca Leana a folosit la inregistrare datele reale totul e perfect. Daca nu… slabe sperante sa trec de acest pas.

Cautam data nasterii pe net. Google este cel mai bun ajutor desigur. Un simplu dork de genul intext:”Leana s-a nascut la data de”  imi poate aduce deja primele informatii. Ca o mica paranteza trebuie sa precizez ca sunt sanse mari ca informatiile respective sa le gasesc pe wikipedia.com. Nu-i asa ca e frumos internetul? Revenim. Vad data nasterii si completez casutele de pe pagina Yahoo. Country of residence… hai ca nu e greu. Incercam Romania? Daca s-a mutat din tara aflam unde e acum si schimbam. Nu e bai. Poate merge. Ramane postal code. Aici e putin mai dificil.

Multi au obiceiul de a folosi ca zip pentru Romania numerele 7000 sau 70000. Din cate am vazut la inregistrarea conturilor noi de Yahoo! trebuie folosit un numar format din 6 cifre. Ceea ce e bine, ca ii baga pe oameni in dubii si pun numere alandala. Totusi sa zicem ca este un cont mai vechi si folosim 7000 sau 70000. Daca nu merge aici se termina totul. Exista sansa ca pe pagina de profil sa gasim zip-ul contului dar nu multa lume completeaza acea pagina.

Sa spunem ca a functionat si am trecut mai departe. Acum intrebarea secreta. Cum il cheama pe animalutul tau? Google rapid. Zic astia din CanCan ca i-a cumparat pisicii o zgarda de diamante. Citim, citim si gasim o declaratie “Mitzi e ca un copil pentru mine”. Ahaaa, deci Leana are o pisica pe care o cheama Mitzi. Si incerc mai departe. Daca depasesc si acest pas obtin parola noua. E greu, functioneaza foarte greu metoda, dar in unele cazuri da rezultate neasteptate. 

Cel mai simplu e in cazul conturilor Gmail. Acolo ai nevoie doar de raspunsul la intrebarea secreta. Chiar daca posibila victima are mail alternativ trecut in cont, tot ce trebuie sa faci e sa ai rabdare cateva zile pentru a ajunge la pagina unde dai raspunsul la intrebarea secreta. Pentru ca este un feature minunat.

Hi5. Este cool nu? Probleme:

1. Ai poze pe el. Ca e la moda.

2. Nu poti sterge definitiv contul.

3. Pozele raman stocate pe server chiar daca iti inchizi contul.

4. In cookie se afla adresa de mail pe care o ai la cont.

5. E (inca) vulnerabil la xss. Deci se poate fura cookie. Deci se poate afla adresa de mail.

6. Poti face cont de pe mailul oricui. Nici macar nu e nevoie sa fie mailul tau sau sa confirmi ceva. Exista o confirmare dar nu este obligatorie. Important e sa nu existe deja acel mail in baza de date a hi5. 

7. Cireasa de pe tort: bagi adresa de mail in casuta de search si iti apare contul facut pe acea adresa de mail. Si da, inca functioneaza.

Va urma… muuuult mai mult

Nu voi explica ce inseamna aceste atacuri pentru ca se pot gasi definitiile exacte pe zecii de mii de pagini, dar in schimb voi explica cateva chestii ajutatoare putin cunoscute de oameni. Azi vorbim despre clientii shared hosting si diferenta intre o firma de hosting romaneasca si cele din afara.

SITE-UL MEU E ATACAT. CE E DE FACUT?

Primul lucru pe care trebuie sa il tii minte este ca daca TU esti tinta, hosting providerul tau nu trebuie sa afle asta.

Stiti pe ce se bazeaza un atac (D)DOS menit sa elimine definitiv sau pentru timp indelungat un site? Pe factorul uman. Exact, factorul uman are cel mai mare rol in toata povestea. Sa dam un mic exemplu ca sa intelegeti mai bine.

Se da site-ul www.targeted.ro, site ce imparte hostingul si ip-ul cu inca 50 de alte domenii. Targeted.ro incepe sa fie atacat si toti clientii de pe server sunt afectati, toti incep sa se planga ca nu le mai functioneaza site-ul, iar adminul de la firma de hosting trebuie sa rezolve problema. Daca adminul este depasit de situatie iar proprietarul targeted.ro ii anunta pe cei de la firma de hosting ca el este cel vizat, deja putem spune ca primul pas catre scopul final al atacatorului a fost facut.

Trebuie sa mentionez ca un atac eficient poate dura de la 24 ore pana la cateva saptamani bune asa ca firma de hosting poate pierde enorm de mult din cauza asta. 

Sa spunem ca deja au trecut doua zile de cand au inceput atacurile si ca nu prea exista solutii definitive la indemana sys adminului ce se ocupa de server. Stiti ce se intampla? Va avea de ales intre 50 de clienti si unul singur. Majoritatea va castiga cu siguranta iar domeniul cu probleme va fi inlaturat elegant de pe serverul respectiv. 

Deci niciodata nu anuntati adminul ca voi sunteti cei targetati. E de ajuns sa ii dati un mail prin care sa il anuntati ca nu poate fi accesat site-ul si sa se ocupe el de restul pentru ca e datoria lui sa o faca. Chiar nu e nevoie sa dati mai multe detalii.

SITE-UL MEU E ROMANESC SI CU TRAFIC 99% DIN ROMANIA DAR NU VREAU SA FOLOSESC SERVICIILE DIN ROMANIA PENTRU CA SUNT DE RAHAT

Adevarat dar si gresit in acelasi timp. Cand ai domeniul hostat pe un server cu conexiune metropolitana deja ai rezolvat o mare parte a problemei. De ce spun asta?

Majoritatea atacurilor se folosesc de servere externe. Providerii nostri de internet filtreaza tot ce inseamna extern in cazul unor astfel de atacuri dar metropolitanul functioneaza in parametri normali. Deci cei 99% dintre vizitatori aflati in Romania pot accesa fara nici cea mai mica problema domeniul respectiv chiar daca atacurile venite din extern sunt extrem de puternice. In schimb hostingul din afara nu stie notiunea de metropolitan si chiar daca ar exista nu ar fi metropolitan romanesc, deci egal cu zero. 

AM INCHIRIAT UN SERVER DEDICAT DE LA O FIRMA DE HOSTING STRAINA. SE APLICA SI LA MINE ACELEASI SFATURI DE MAI SUS? 

Depinde de seriozitatea firmei. Din pacate sunt foarte multi oameni ce platesc pentru un dedicat si primesc un vps fara sa stie, ceea ce din punct de vedere al atacului inseamna intr-un fel sau altul tot shared hosting. Trebuie sa precizez ca tipul de atac conteaza foarte mult in cazul vps-urilor, dar si capacitatea de rezolvare a problemelor pe care o are firma de hosting, aparatura necesara si desigur cunostintele sys adminilor. Stiu cazuri in care sys adminul le-a spus clientilor “aveti dedicat e problema voastra”.

AM SHARED HOSTING DAR AM IP DEDICAT. E BINE SAU RAU?

Aici chiar este o problema. Daca ai doar tu acel ip este mult mai greu de aflat care sunt celelalte site-uri hostate pe acel server. Asta este un lucru extrem de bun. Dar in cazul in care tu esti tinta atacului imediat va afla si firma de hosting acest lucru pentru ca vede pe ce ip vin pachetele.

DECI DACA AM HOSTING IN ROMANIA NU MAI IMI “PICA” NIMENI SITE-UL?

Este mult mai greu cu siguranta dar nu imposibil. Inca exista atacurile de tip httpget, din servere romanesti si cele dc++. Daca in cazul atacurilor httpget si din servere romanesti exista solutii, atacurile dc++ sunt extrem de greu de oprit.

Cei de la firma noastra de hosting (al carui nume nu-l voi da ca sa nu ziceti ca e advertorial) au stat o luna intreaga ca sa afle cum se pot stopa miile de conexiuni/secunda ce provin din exploiturile de hub-uri. Au reusit deci se poate. Singura problema e ca trebuie sa ai sistem de clustere special tunate pentru cateva sute de mii de conexiuni/secunda ceea ce e destul de scump pentru firmele mici si imposibil de realizat pentru sys admini incepatori.

Din fericire majoritatea huburilor au fost upgradate si cele afectate de acel bug au scazut simtitor.

Sfatul nostru: daca aveti vizitatori doar din Romania gasiti-va un hosting de incredere aflat la noi in tara. Sunt sigur ca sunt cateva firme serioase.

Va urma…

In prima parte a articolului o sa explic metodele cele mai intalnite, in cea de-a doua parte metode putin mai avansate si mai private (pana acum) pe care le-am testat inainte de publicarea acestui articol si au avut un real succes, iar in ultima parte implicatiile din punct de vedere al securitatii. Credeti-ma ca se merita citit pana la capat chiar daca este un articol lung.

Sa luam ca exemplu hi5.com pentru ca este probabil cel mai folosit site de acest gen in Romania.

Partea 1

Cel mai arhicunoscut mod de a spama este inserarea de coduri html in comentariile profilelor, a pozelor sau in mesageria interna. Imagini, clipuri, linkuri ascunse sub diferite forme, toate menite sa il convinga pe utilizator sa intre pe paginile din afara retelei de socializare. Oricare dintre voi poate vedea toate acestea doar intrand la intamplare pe maxim 3-4 profile diferite sau, pentru cei care nu au chef sa caute, un exemplu concludent este aici.

Spamul in comentarii este extrem de simplu si poate aduce cateva mii de unici pe zi. Tot ce conteaza este doar sa fie un mesaj cat mai credibil si sa ajunga sa fie listat pe cat mai multe profile.

Cum se dau miile de comentarii? Desigur ca nu manual. Ar dura prea mult timp acest lucru. Asa ca se folosesc mici scripturi sau programele special concepute sa extraga profile, sa verifice care profile dau automat accept la comentarii si sa trimita mesajele publicitare.

O imagine cu un astfel de program puteti vedea mai jos. Stati linistiti si nu va chinuiti sa il cautati pentru ca nu mai functioneaza.

Totusi nu doar simpla trimitere a mesajului aduce trafic, conteaza si modul in care este prezentat. Unii pun imagini cu fete sexoase, altii un screenshot cu playerul YouTube etc etc. Depinde de la caz la caz si de la spammer la spammer.

Cum trebuie sa arate un astfel de comentariu?

Totul este html pur. Se adauga un cod de tipul:

<a href=”http://site-unde-trebuie-sa-intre-oamenii.com”><img src=”http://site.com/imagine.jpg”></a>

Am testat si eu cateva metode pe care mi le-au impartasit cei din stafful RST si am gasit ca fiind extrem de eficiente urmatoarele imagini.

Primul exemplu este un simplu .gif animat facut de AhEaD si Nemessis. Stiti cati oameni dau click pe asa ceva? Extrem de multi. Iata de ce:

Destul de convingator pentru genul de utilizatori hi5 nu-i asa?

O alta imagine ce aduce click-uri este si aceasta:

Imaginea respectiva se adauga pe pagina de start a unui profil. Spammerul isi face un profil interesant, adauga poza la “comments” si apoi restrictioneaza comentariile celorlalti vizitatori pentru a pastra imaginea “on top”.

Totul pare incredibil de simplu nu? E timpul sa va explic si partea putin mai complicata folosita la un nivel ceva mai avansat. Nu stiu daca cineva a mai folosit aceste metode pana acum, dar stiu sigur ca sunt cele mai eficiente si greu de depistat.

Partea a 2-a

Dupa cum am spus in articolele anterioare, spamul in mail este ilegal dar extrem de eficient. Cum poti da un spam “legal” folosind retelele de socializare?

Hi5 are, la fel ca si majoritatea site-urilor de acest gen, optiunea de a invita persoanele aflate in lista de contacte a contului tau de mail (address book in cazul Yahoo!). Bagi user, bagi parola, dai invite si de restul se ocupa scriptul hi5.

Pentru a folosi aceste optiuni la o capacitate maxima un spammer trebuie sa urmeze urmatorii pasi:

1. Modifica css-urile hi5 pentru a personaliza contul si a restructura intreaga grafica a paginii. Un exemplu extrem de concludent este cel din poza. Nu voi pune linkul catre profil si nici codul sursa pentru ca este ultimul lucru pe care ar trebui sa il mai aiba romanii la indemana. Metoda modificarii css-urilor Hi5 este publica, deja folosita de un numar maricel de persoane si daca o sa cautati cu siguranta veti afla cum se procedeaza. Dar eu nu o voi pune aici. Sâc!

2. Creeaza o lista cat mai mare de contacte in conturile lui de mail folosind functia “Import”. Din cate tin minte la Yahoo! mail capacitatea maxima de contacte este de 5000. O sa explic putin mai tarziu cum se poate face rost de aceste contacte.

3. Dupa ce prepara conturile de mail nu trebuie decat sa se logheze pe cont si sa invite persoanele din address book folosindu-se chiar de optiunea oferita de hi5.

4. Scriptul hi5 trimite mail la toti cei din lista de contacte a spammerului si ii invita sa ii viziteze profilul.

Este legal? Da. Nu se poate dovedi intentia de spam din moment ce s-au folosit optiunile acordate chiar de catre site.

Este eficient? Extrem de eficient.

Ajunge in inbox mesajul? In majoritatea cazurilor da. Este vorba de hi5 totusi.

Spamul are efecte pe termen indelungat? Da. Cu cat ai mai multi prieteni cu atat ai expunerea mai mare, pentru ca lumea intra de pe un profil pe altul dand click pe listele altora de prieteni, liste in care se afla si contul folosit la spam.

Sa revenim asupra paginii de profil. La rubrica “about” se poate introduce html fara probleme. Chiar modificarea in sine a css-ului se face prin acea rubrica. Poza pe care o vedeti in imaginea de mai sus duce catre un site extern. Este un simplu link sub imagine ca cel pe care l-am aratat in prima parte. Cand cineva acceseaza profilul si vede doar acea imagine ce credeti ca face? Da click pe ea.

In privinta contactelor din mail exista destule solutii. Yahoo! permite sa  dati import si export la address book ceea ce e destul de “cool”. De acele address books se poate face rost extrem de usor dar se si pot “fabrica”. Sa vedem cum.

Fisierul cu contactele de la Yahoo! exportat (cel cu extensia .csv) este usor de editat cu ajutorul Excel. Cine are o lista de mailuri poate da paste la toate acele adrese in fisierul respectiv si deja si-a creat o lista de contacte foarte mare in doar cateva minute.

Un xss de Yahoo! poate deasemenea sa contribuie la extragerea contactelor din conturile sparte. Paginile false de logare Yahoo! au si ele un rol la fel de important. Cand spammerul capata acces in conturile respective nu trebuie decat sa le dea export la address book si astfel isi mareste lista de spam.

Partea a 3-a

Din pacate aceste metode pot fi folosite si in alte scopuri decat cresterea artificiala a traficului pe site-uri.

Atata timp cat este permisa adaugarea linkurilor catre domenii externe in profile, exista si sansa ca retelele de socializare sa devina un adevarat pericol pentru utilizatori. Sa dam cateva exemple simple.

Daca linkurile din acele poze duc catre programe de tip spyware? Sa fim realisti. Internetul se afla in viata oamenilor de foarte mult timp dar inca se gasesc foarte multe persoane care downloadeaza si executa poza.exe in speranta ca vor vedea o gagicuta fierbinte.

Sau cum ar fi ca paginile pe care sunt trimisi simplii vizitatori sa contina exploituri sau iframes cu vulnerabilitati xss in diferite domenii? Mi se pare trist ca un om ce intra pe hi5 ca sa isi faca noi prieteni virtuali poate ramane fara banii din contul bancar sau i se poate “sparge” mailul doar pentru ca a dat click pe o poza ce ducea catre un site care ii fura cookies de la online banking, webmail sau cine stie ce alte servicii ce neaparat trebuiau sa fie “secure”.

O vulnerabilitate poate completa si propaga o alta vulnerabilitate iar goana pentru a face bani multi si cat mai rapid din web si trafic poate aduce extrem de multe neplaceri. Retelele de socializare au fost, sunt si vor ramane pentru mult timp un adevarat pericol pentru internautii neinstruiti. Chiar si o mare parte din cei care vor citi acest articol vor zambi si vor spune ca asa ceva nu ar face nimeni, dar adevarul este ca tot ce am spus aici se poate creea in doar cateva minute si deja este folosit de diferite persoane si afecteaza in acelasi timp alte cateva mii saptamanal.

Va urma…