Πέμπτη 28 Απριλίου 2011

Sony PlayStation Network Hacked: Το FAIL της χρονιάς! Υποκλοπή προσωπικών δεδομένων εκατομμυρίων χρηστών!


Επάνω που νομίζαμε ότι η μεγαλύτερη ήττα της Sony είναι η ιστορία με τον Geohot και το “σπάσιμο” του PS3, έρχεται αυτή η είδηση για να συνταράξει πραγματικά τους εκατομμύρια χρήστες του PlayStation Network.
Η εταιρία παραδέχεται με επίσημη ανακοίνωση της ότι οι υπηρεσίες PlayStation Network και Qriocity είχαν “πέσει” στο διάστημα 17-19 Απριλίου, λόγω επίθεσης από hackers, οι οποίοι κατάφεραν να υποκλέψουν τα προσωπικά δεδομένα των χρηστών, όπως ονόματα, διευθύνσεις, passwords και πιθανότατα αριθμούς πιστωτικών καρτών!


Ο υπεύθυνος επικοινωνίας της Sony, Patrick Seybold, ανακοίνωσε:
We have discovered that between April 17 and April 19, 2011, certain PlayStation Network and Qriocity service user account information was compromised in connection with an illegal and unauthorized intrusion into our network.
Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. If you have authorized a sub-account for your dependent, the same data with respect to your dependent may have been obtained. While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained.
Η εταιρία προσπαθεί να ανακαλύψει από που προέρχεται η επίθεση, αλλά υποστηρίζει ότι δύσκολα θα έχει γίνει υποκλοπή των πιστωτικών καρτών. Παρόλα αυτά καλό θα είναι να προβείτε στις παρακάτω ενέργειες:
  • Αλλαγή των password που χρησιμοποιείτε σε άλλες υπηρεσίες, εάν μοιάζουν με αυτό που έχετε στο PlayStation Network.
  • Τακτική παρακολούθηση των κινήσεων της πιστωτικής κάρτας και αναφορά οποιασδήποτε περίεργης δραστηριότητας.
  • Αποφυγή παροχής προσωπικών πληροφοριών σε emails που προέρχονται από παιχνίδια σχετικά με το PlayStation Network, καθώς και click σε links που τα συνοδεύουν.
Μπορείτε να βλαστημήσετε ελεύθερα…

Όλη η ανακοίνωση εδώ.

Από το techgear.gr

Σάββατο 23 Απριλίου 2011

Ακολουθώντας τα ίχνη από ένα Email.


Σε όλους μας μπορεί να έχει τύχει να δεχτούμε κάποιο spam είτε κάποιο ανώνυμο email το οποίο και να περιέχει απειλές ή βρισιές.Πώς μπορούμε να βρούμε όμως από που προέρχεται αυτό το email?

Η προφανής απάντηση είναι από την γραμμή Από του email μηνύματος.Όμως σχεδόν πάντα αυτός που θα μας στείλει το email είτε είναι απειλητικό είτε spam δεν θα χρησιμοποιήσει και το πραγματικό του όνομα.Άρα θα πρέπει να βρούμε κάποιον άλλο τρόπο για να βρούμε τον αποστολέα.

Η λύση έρχεται από τα Headers του Email μας.Τα email headers είναι πληροφορίες που περιέχουν λεπτομέρειες σχετικά με τον αποστολέα,την δρομολόγηση και τον παραλήπτη και βρίσκονται σε κάθε μήνυμα email που στέλνεται.Εξετάζοντας λοιπόν τα headers του email που θέλουμε μπορούμε να βρούμε και το host από το οποίο προήλθε.

Πώς βλέπουμε τα email headers?
Αυτό εξαρτάται από το ποιό είναι το client που χρησιμοποιούμε για να βλέπουμε τα email μας.Στο Outlook για παράδειγμα μπορούμε να δούμε τα headers κάνοντας δεξί κλικ στο μήνυμα και επιλέγοντας επιλογές μηνύματος (Message Options).Αν χρησιμοποιούμε οποιοδήποτε άλλο client ή παίρνουμε τα email μας μέσω του web τότε ο παρακάτω σύνδεσμος θα μας βοηθήσει να μάθουμε το πως θα δούμε τα email headers όπου και αν έχουμε λογαριασμό email.
http://www.spamcop.net/fom-serve/cache/19.html

Τι πληροφορίες μπορούμε να πάρουμε από το header?
Έχοντας το παρακάτω παράδειγμα μπορούμε να βρούμε αρκετές πληροφορίες για τον αποστολέα.Τα παρακάτω headers προέρχονται από ένα κανονικό email βέβαια αλλά θα μας βοηθήσει να καταλάβουμε το που θα βρούμε τις σημαντικές πληροφορίες.Για προφανείς λόγους έχουν αλλαχτεί οι διευθύνσεις του email και του αποστολέα.


Παράδειγμα 1:
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0xO0Q9MTtTQ0w9MA==
X-Message-Status: n:0
X-SID-PRA: Tedd Baker
X-SID-Result: Pass
X-Message-Info: JGTYoYF78jGZZ3diV5RgIRSfKLV3rM8GKUbYkios1ubjgVqmMNA9dqnl8hHavRVwZ5JBGeOoG3OGwK4FP1Sfy1RZzocr4a/t
Received: from bay0-omc2-s9.bay0.hotmail.com ([65.54.246.145]) by col0-mc4-f16.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
Sun, 19 Apr 2009 13:11:18 -0700
Received: from BAY140-W56 ([64.4.39.91]) by bay0-omc2-s9.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959);
Sun, 19 Apr 2009 13:11:18 -0700
Message-ID:
Return-Path: spammer@hotmail.com
Content-Type: multipart/mixed;
boundary=”_49a30aee-aa10-48b7-b232-cbbdccaf278b_”
X-Originating-IP: [94.192.20.96]
From: Tedd Baker
To: , ,

Subject: Spam Advertisment
Date: Sun, 19 Apr 2009 20:11:18 +0000
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 19 Apr 2009 20:11:18.0068 (UTC) FILETIME=[FFC55740:01C9C12A]
X-Mailer: Internet Mail Service (5.5.2650.21)


Σύμφωνα με το header from το email προέρχεται από κάποιον Tedd Baker και με email spammer@hotmail.com, δεν μπορούμε να βασιστούμε όμως σε αυτές τις πληροφορίες καθώς το πιο πιθανό είναι να είναι ψεύτικες.Το header το οποίο μπορεί να καθορίσει την πραγματική προέλευση του μηνύματος είναι το Received.Οπότε και είναι αυτό που μας ενδιαφέρει.Διαβάζοντας λοιπόν το πρώτο Received που έχουμε βλέπουμε ότι προέρχεται από το bay0-omc2-s9.bay0.hotmail.com και έχει IP την 65.54.246.145.Στην ίδια σειρά το by μας δείχνει τον mail server που προώθησε το μήνυμα και μας το έστειλε στην διεύθυνση μας και ο οποίος είναι ο col0-mc4-f16.Col0.hotmail.com.

Το αμέσως επόμενο Received header μας δείχνει τον απομακρυσμένο email server (BAY140-W56) που δέχτηκε το μήνυμα και έχει IP την 64.4.39.91.Στην σειρά X-Originating-IP μπορούμε να δούμε τις περισσότερες φορές την πραγματική IP του αποστολέα που στην προκειμένη περίπτωση είναι η 94.192.20.96 και στην σειρά X-Mailer το client που χρησιμοποιήσε για να στείλει το email.

Τι κάνουμε μετά?
Δύο είναι οι εντολές που θα χρειαστούμε.Η μία είναι το nslookup και η άλλη το whois.Ο απομακρυσμένος email server (δηλαδή στο παράδειγμα μας ο BAY140-W56) είναι ο mail server από τον οποίο στάλθηκε το μήνυμα.Οπότε από την γραμμή εντολών και με την εντολή nslookup επιβεβαιώνουμε ότι η IP αντιστοιχεί σε αυτόν τον mail server.Επίσης πηγαίνοντας στην ιστοσελίδα https://www.arin.net/ και εκτελώντας ένα whois στην IP 64.4.39.91 βλέπουμε σε ποιόν ανήκει αυτήν η IP.

Στην προκειμένη περίπτωση βλέπουμε ότι ανήκει στην MS Hotmail.Αν το email ήταν spam τότε θα είχαμε τον SMTP Server που μας έστειλε το Spam email και κατά συνέπεια με το whois την εταιρεία από την οποία στάλθηκε.Οπότε ξέρουμε και που μπορούμε να παραπονεθούμε για το spam email.

Παράδειγμα 2:
1

Τώρα κάνοντας ένα traceroute στην IP που βρίσκεται στην σειρά X-Originating-IP μπορούμε να δούμε από που προέρχεται αυτήν η IP.Σε πολλές περιπτώσεις όμως αν δεν πρόκειται για ένα κανονικό email αλλά για ένα spam ο αποστολέας του θα έχει φροντίσει να φαίνεται στην γραμμή αυτήν ένα ψεύτικο IP.Οπότε δεν είναι εντελώς αξιόπιστη αυτήν η λύση.

Διαφορετικά μπορούμε έχοντας το host από το οποίο στάλθηκε το email να τσεκάρουμε στο παρακάτω site για να βρούμε την email διεύθυνση παραπόνων και στην οποία μπορούμε να αναφέρουμε το πρόβλημα μας.
http://abuse.net/lookup.phtml

Τέλος όσον αφορά τον πραγματικό spammer δεν υπάρχει τρόπος να μάθουμε το ποιός το έστειλε αν η IP που χρησιμοποίησε είναι ψεύτικη.Το καλύτερο που μπορούμε να ελπίζουμε είναι να μάθουμε με τον παραπάνω τρόπο το host από το οποίο προήλθε και να στείλουμε ένα email εκεί όπου θα περιέχει τα headers που έχουμε και εξηγώντας την κατάσταση να λύσουμε το πρόβλημα.

Από το HackWorld.

Βρίσκοντας ευάλωτες ιστοσελίδες με το Google.

Παλαιότερα όταν κάποιος έψαχνε στην μηχανή αναζήτησης Google με συγκεκριμένα queries αυτήν στα αποτελέσματα της μπορούσε να εμφανίσει σημαντικές πληροφορίες όπως passwords από Admins,mail passwords κτλ.Τα τελευταία χρόνια όμως έχουν σταματήσει να εμφανίζεις οι περισσότερες ”καλές” πληροφορίες για λόγους ασφαλείας κυριώς επειδή γίναν γνωστά όλα αυτά τα queries στο ευρύ κοινό.

Ωστόσο υπάρχει ακόμα περίπτωση να βρούμε στα αποτελέσματα του Google κάποιους κωδικούς,username κτλ.Τα queries που θα πρέπει να δώσουμε στην αναζήτηση του Google για να βρούμε τα περιεχόμενα φακέλων όπως admin,password,mail κτλ. είναι τα ακόλουθα:

“index of /admin”
“index of /password”
“index of /mail”
“index of /”+passwd
“index of /” password.txt

Επίσης μπορούμε να δοκιμάσουμε και να ψάξουμε για password hints προκειμένου να έχουμε κάποια παραπάνω στοιχεία για να σπάσουμε κάποιον κωδικό.Οι λέξεις κλειδιά είναι οι παρακάτω:

password hint
password hint -email
show password hint -email
filetype:htaccess user

Φυσικά όπως αναφέραμε και πιο πάνω είναι πλέον πολύ δύσκολο να εντοπίσουμε πάρα πολλά password αλλά έστω και για την μία φορά που θα βρούμε κάτι αξίζει η προσπάθεια.