פרסומת

Stealer דומיין כפי שרבים מכם כבר יודעים ב -2 בנובמבר, התחום של MakeUseOf.com נגנב מאיתנו. לקח לנו בערך 36 שעות להחזיר את הדומיין. כפי שציינו קודם לכן ההאקר הצליח איכשהו לקבל גישה לחשבון ה- Gmail שלי ומשם לחשבון GoDaddy שלנו, לבטל את נעילת הדומיין ולהעביר אותו לרשם אחר.

אתה יכול לראות את כל הסיפור בבלוג הזמני שלנו makeuseof-temporary.blogspot.com/

לא תכננתי לפרסם שום דבר על האירוע או על הפראקר (אדם שגונב תחומים) ואיך הוא הצליח לסלק אותו אלא אם כן הייתי בטוח לגמרי בעצמי. הייתה לי תחושה טובה שמדובר בפגם אבטחה ב- Gmail אבל רציתי לאשר את זה לפני שפרסמתי משהו על זה ב- MakeUseOf. אנחנו אוהבים את Gmail ולתת להם פרסום רע זה לא דבר שנרצה אי פעם לעשות.

אז למה לכתוב על זה עכשיו?

ביומיים האחרונים התרחשו כמה דברים שגרמו לי להאמין של- Gmail יש ליקוי ביטחוני רציני וכולם צריכים להיות מודעים לכך. במיוחד בתקופות בהן אנשים כמו סטיב רובל מספרים לך כיצד להפוך את Gmail ל- GateWay שלך לאינטרנט. עכשיו, אל תבינו אותי לא נכון כאן, Gmail היא תוכנית דוא"ל AWESOME. הכי טוב כנראה. הבעיה היא שאולי זה לא אמין בכל מה שקשור לאבטחה. עם זאת, זה לא אומר בהכרח שיהיה לך טוב יותר עם Yahoo או Live Mail.

instagram viewer

אירוע 1: MakeUseOf.com - 2 בנובמבר

כאשר נגנב הדומיין שלנו, חשדנו שההאקר השתמש באיזה חור בג'ימייל אבל לא היינו בטוחים בזה. מדוע חשדתי שזה קשור לג'ימייל? ובכן, דבר אחד אני די זהיר בביטחון ולעיתים רחוקות מנהל דבר שאיני בטוח בו. אני גם שומר על מערכת מעודכנת ויש לי את כל הדברים החיוניים כולל 2 צגי תוכנות זדוניות, אנטי-וירוס ו -2 חומות אש. אני גם נוטה להשתמש בסיסמאות חזקות וייחודיות לכל אחד מהחשבונות שלי.

ההאקר אמנם ניגש לחשבון ה- Gmail שלי והקים שם כמה פילטרים שבסופו של דבר עזרו לו לקבל גישה לחשבון GoDaddy שלנו. מה שלא ידעתי זה איך הוא הצליח לעשות את זה. האם זה היה חור אבטחה ב- Gmail? או שזה היה keylogger במחשב האישי שלי? לא הייתי בטוח בזה. לאחר המקרה סרקתי את המערכת שלי עם מספר הסרות תוכנות זדוניות ולא מצאתי כלום. עברתי גם כל תהליך ריצה. כל הזרע להיות נקי.

אז אני נוטה להאמין שהבעיה הייתה בג'ימייל.

אירוע 2: YuMP3.org - 19 בנובמבר

ב -18 בנובמבר קיבלתי דוא"ל ממישהו בשם אדיס אוסמנבגוביץ 'שמנהל את האתר yump3.org. (הוא בטח מצא את הדוא"ל שלי דרך גוגל כיוון שהאירוע עם MakeUseOf היה מכוסה בכמה בלוגים פופולריים, רבים מתוכם כלל את מזהה הדוא"ל שלי.) בדוא"ל שלו, אדין אמר לי שהדומיין שלו נגנב ועבר לרשם אחר. מהיר שלייתי ב- Google את ה- MP3 וראיתי שאתר אינטרנט מבוסס למדי מגיש כעת עמוד חוות קישורים (בדיוק כמו במקרה שלנו).

גוגל (באינדקס האחרון):

BREAKING: פגם אבטחה חדש ב- Gmail. דומיינים נוספים גנבו! גניבת תחום Gmail 3

דף הבית של YouMP3.org (בהווה):

BREAKING: פגם אבטחה חדש ב- Gmail. דומיינים נוספים גנבו! yoump3org 2

הנה עותק של המייל הראשון שקיבלתי מאדין:

שלום,
יש לי אותה בעיה עם התחום שלי.
התחום עבר מ- Enom ל- GoDaDDy.
שלחתי מייד כרטיס תמיכה בנוגע לבעיה זו.

המנויים של בעל דומיין חדש הוא:

שם: אמיר אממי
כתובת 1: P.O. תיבה 1664
עיר: ליגה סיטי
מדינה: טקסס
מיקוד: 77574
מדינה: ארה"ב
טלפון: +1.7138937713
אימייל:מידע ליצירת קשר מנהלי:
שם: אמיר אממי
כתובת 1: P.O. תיבה 1664
עיר: ליגה סיטי
מדינה: טקסס
מיקוד: 77574
מדינה: ארה"ב
טלפון: +1.7138937713
אימייל:

מידע ליצירת קשר טכני:
שם: אמיר אממי
כתובת 1: P.O. תיבה 1664
עיר: ליגה סיטי
מדינה: טקסס
מיקוד: 77574
מדינה: ארה"ב
טלפון: +1.7138937713
אימייל:

הדוא"ל הוא: [email protected]
אתמול הבחור מאותה כתובת דוא"ל פנה אלי דרך Gtalk.
הוא אמר שהוא רוצה 2000 $ לדומיין.
אני זקוק לייעוץ בבקשה, יצרתי קשר עם האנום.

תודה.

ונחשו מה, זה אותו בחור שגנב מוקדם יותר החודש את MakeUseOf.com. גם אלינו צור קשר מאותה כתובת דוא"ל: [email protected]. אדין גם שלח איתי אימייל היום ואישר שהבחור קיבל גם גישה לחשבון הדומיין שלו דרך חשבון ה- Gmail שלו. אז זה שוב ג'ימייל.

בהודעת הדוא"ל האחרונה שלו (שהתקבלה היום) אדין כלל סקירה מהירה של האירועים


יש לי את ההיסטוריה של איך הוא עשה הכל.

ב -10 בנובמבר הייתי הבעלים.
ב 13 בנובמבר מארק מורפי.
ב- 18 בנובמבר אמיר אממי.

הוא השתמש ב- [email protected] בשני האנשים.

שלחתי אתמול גם כל דבר למוניקר.
הם יחקרו.

אירוע 3: Cucirca.com - 20 בנובמבר

דוא"ל אחרון זה היה הסיבה העיקרית לפוסט זה. זה הגיע מפלורין קוקירקה, הבעלים של cucirca.com. האתר דרג אלכסיה של 7681 ועל פי פלורין זוכה ליותר מ 100,000 ביקורים מדי יום.

אימייל ראשון מפלורין:

הי אייבק

אני באותו מצב makeuseof.com יצא.

אני Cucirca פלורין והתחום שלי www.cucirca.com היה
הועבר מחשבון האלילים שלי ללא אישורי.

נראה שהגנב הכיר את סיסמת ה- Gmail שלי שהיא מוזרה.
הוא הצליח ליצור כמה פילטרים לחשבוני.

צירפתי שני צילומי מסך.

אתה יכול לעזור לי? תן לי כמה פרטים כיצד אוכל להשיג
מתוך החלום הרע הזה? בדיוק מצאתי היום על זה ואני
אל תחשוב שאני מסוגל לישון הלילה.

תודה מראש.

פלורין קוקרה.

שלחתי בדואר אלקטרוני לפלורין ושאלתי אותו כמה פרטים על הדומיין שלו, האם הוא יצר קשר עם GoDaddy וכל מידע שהוא קיבל על איש הפיצוח של התחום (מונח המשמש כגנוב דומיין) עד כה.

אימייל שני מפלורין:

להאקר הייתה גישה לחשבון הדוא"ל שלי (Gmail). הדומיין התארח אצל godaddy.
השתמשתי בהרחבה של הודעות Gmail ב- Firefox. אולי יש את הבאג הגדול.
הוא העביר את הדומיין ל- register.com

אני לא מדבר עם ההאקר. אני רוצה להחזיר אותו באופן חוקי ואם אין פיתרון אחר אולי אני אשלם לו

www.cucirca.com כולל דירוג Alexa של 7681 ולמעלה מ- 100 000 ביקורים מדי יום.

אני אצרף לך 2 צילומי מסך של חשבון ה- Gmail שלי.

[email protected] ובדומיין המסך השני[email protected]

אם תבצע חיפוש בגוגל ב- [email protected] תמצא זאת:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

אני חושב שמישהו צריך לעצור אותם.

שלחתי בדוא"ל לבטל את @godaddy.com וחיכיתי לתשובה.

מה אתה חושב? האם אחזור לתחום שלי?

נראה ש- Gmail זה שוב! להלן צילומי המסך החלקיים ממה שהוא שלח לי:

BREAKING: פגם אבטחה חדש ב- Gmail. דומיינים נוספים גנבו! גניבת תחום Gmail
BREAKING: פגם אבטחה חדש ב- Gmail. דומיינים נוספים גנבו! גניבת תחום Gmail 2

במקרה של פלורין ההאקר שינה את הבעלות על הדומיין לפני מספר חודשים. ה- cucirca.com הועבר מ- GoDaddy ל- Register.com. מכיוון שההאקר יירט את המיילים שלו ומעולם לא שינה את שרתי השמות, אני מניח שלפלורין לא היה מושג שמשהו לא בסדר. כששאלתי אותו איך זה לקח לו כל כך הרבה זמן לגלות שהוא שלח לי בעקבות:

הוא העביר את התחום לשמו ב- 2008-09-05 והשאיר את שרתי השמות ללא שינוי. זו הסיבה שלא שמתי לב שהדום שלי נגנב עד אתמול כשחבר שלי עשה מי שהיה בדומיין שלי ...

לא הייתה לי שום סיבה לבדוק מי רשומות מכיוון שהדומיין היה רשום מעל 7 שנים (עד 2013-11-11)

לא קיבלתי דוא"ל מהאדם הזה.

ושוב נראה שזה אותו בחור! מדוע אני חושב כך? אם תבדוק את הקישור הזה שפלורין כלל באחד מהודעות הדוא"ל שלו (הוספתי אותו גם למטה) תראה שבאירועים דומים אחרים (מי יודע כמה דומיינים נוספים גנב ככה) דוא"ל כתובת [email protected] הוזכר יחד עם השם 'אידין בולוריזדה'. אותו דוא"ל הופיע גם הכלל קדימה בחשבון Gmail של פלורין (ראה צילום מסך ראשון).

כאשר נלקחה מאיתנו MakeUseOf.com, הפצח ביקש ממני 2000 $. וכששאלתי אותו איפה ואיך הוא רוצה לקבל שכר, הוא אמר לי לשלוח כסף דרך ווסטרן יוניון לכתובת הבאה:

איידין בולוריזדה
טורקיה
אנקרה
Cukurca kirkkonaklar mah 3120006954

צילום מסך מ http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

BREAKING: פגם אבטחה חדש ב- Gmail. דומיינים נוספים גנבו! קישור yxl

אני די יפה שזה היה אותו בחור בכל שלושת המקרים וכנראה 788 אחרים שהוזכרו בקישור לעיל, כולל דומיינים כמו yxl.com, visitchina.net ו- visitjapan.net.

כשחיפשתי את הכתובת הזו בגוגל, גיליתי שהוא גם הבעלים של הדומיינים הבאים (כנראה שגנב אותם גם):

    • Elli.com -

http://whois.domaintools.com/elli.com

    • Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

אני מניח שהאיש הוא אכן מטורקיה, וסביר להניח שהוא יושב איפשהו באזור הבא.

    • Cukurca kirkkonaklar mah 3120006954
    אנקרה, טורקיה

אנו גם יודעים שהוא משתמש ב- [email protected] כדואר האלקטרוני שלו. כך שאם אנו יודעים מי עומד מאחורי domainsgames.org, אנו עשויים פשוט להתקרב צעד אחד. לאמיתו של דבר, הוא שלח בדואר אלקטרוני לפני מספר ימים וביקש ממני להסיר את כל המקרים של הדוא"ל שלו מהאתר ואם אנחנו לא מצייתים לו הוא היה מעביר לנו את הסכמתנו.

להלן מילותיו המדויקות:

היי,
אני מבקש ממך להסיר את כתובת הדוא"ל שלי ([email protected]) מהאתר שלך!
עשה זאת אם אתה רוצה שלא תהיה לך בעיה בעתיד, אחרת ראשית אני אתחיל לקבל את ה- DDOS הגדול באתר שלך ואסדר אותו ...
אני מאוד seriuos אז הסר את הדוא"ל ושם domainsgame.org

אז נראה שאנו יכולים להגיע לתעודה שמאחורי domainsgame.org אנו עשויים להשיג את הבחור שלנו וכנראה שנחשוף עוד הרבה תחומים שהוא גנב. קרא עוד עליו בהמשך. עכשיו נדבר על Gmail.

פגיעות של Gmail

מישהו זוכר מה קרה עם דיוויד איירי בשנה שעברה? גם הדומיין שלו נגנב. הסיפור היה בכל האינטרנט.

אזהרה: כישלון האבטחה ב- Gmail של גוגל משאיר את העסק שלי
- מאמץ קולקטיבי משחזר את דייוויד איירי

גם אנחנו וגם דייויד הצלחנו להחזיר את הדומיין. אבל אני לא בטוח אם כולם ברי מזל כמונו. לרוע המזל, רשמים לא באמת ישתפו איתך פעולה בנושא זה אלא אם כן הסיפור יקבל קצת תשומת לב. לכן, אין לי ספק שיש מאות אנשים בחוץ שלא נותרים להם שום סיכוי אלא לתת שם דומיין או לשלם לבחור.

בכל מקרה, חזרה ל- Gmail.

במאמר הראשון שלו דיוויד איירי התייחס לפגיעות של Gmail שהוזכר (אם אני לא טועה) כאן כמה חודשים קודם לכן. לסיכום:

הקורבן מבקר בדף כשהוא מחובר ל- GMail. עם הביצוע, העמוד מבצע POST מרובה חלקים / טופס נתונים לאחד מממשקי ה- GMail ומחדיר מסנן לרשימת המסננים של הקורבן. בדוגמה שלמעלה התוקף כותב פילטר, שפשוט מחפש אימיילים עם קבצים מצורפים ומעביר אותם לדוא"ל לפי בחירתם. מסנן זה יעביר אוטומטית את כל הדוא"ל התואמים לכלל. זכור שגם דוא"ל עתידי יועבר. ההתקפה תישאר קיימת כל עוד הקורבן מכיל את המסנן ברשימת המסננים שלו, גם אם הפגיעות הראשונית, שהייתה הגורם להזרקה, תוקנה על ידי גוגל.

דף מקורי: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

כעת, החלק המעניין הוא שעדכון בקישור GNU Citizen לעיל קובע כי הפגיעות תוקנה לפני 28 בספטמבר 2007. אולם במקרה של דיוויד, האירוע התרחש בדצמבר, כעבור 2-3 חודשים.

אז האם הניצול היה באמת קבוע אז? או שמא היה זה ניצול חדש במקרה של דיוויד? והכי חשוב האם יש פגם אבטחה דומה ב- Gmail עכשיו?

מה עליכם לעשות עכשיו?

(1) ובכן, העצה הראשונה שלי תהיה לבדוק את הגדרות הדוא"ל שלך ולוודא שהדוא"ל שלך לא נפגע. בדוק אפשרויות מסננים. כמו כן, הקפד להשבית IMAP אם אינך משתמש בו. זה חל גם על חשבונות Google Apps.

(2) שנה דוא"ל ליצירת קשר בחשבונות האינטרנט הרגישים שלך (paypal, רשם תחומים וכו ') מחשבון Gmail הראשי שלך למשהו אחר. אם אתה הבעלים של האתר, שנה את כתובת הדוא"ל ליצירת קשר עבור חשבונות המארח והרשם שלך לדוא"ל אחר. רצוי למשהו שאינך מחובר אליו כשאתה גולש באינטרנט.

(3) הקפד לשדרג את הדומיין שלך לרישום פרטי כך שפרטי הקשר שלך לא יופיעו בחיפושים ב- WhoIS. אם אתה משתמש ב- GoDaddy, אני ממליץ ללכת לרישום מוגן.

(4) אל תפתח קישורים בהודעת הדוא"ל שלך אם אינך מכיר את האדם ממנו הוא בא. ואם החלטתם לפתוח את הקישור דאגו להתנתק קודם.

עדכון:

גיליתי כמה מאמרים טובים שדנו בפגמי אבטחה פוטנציאליים בתגובה למאמר של MakeUseOf:

הוכחת פגם באבטחה של Gmail
הערות על כך ב- YCombinator
- (נובמבר 26th) פעילות אבטחה של Gmail ופעילות דיוג אחרונה [תגובה רשמית מגוגל]

עזרו לנו לתפוס את הבחור!

מלבד כתובת הדואר הנ"ל, אנו גם יודעים שהוא משתמש [email protected] בתור הדוא"ל שלו. אז אם נגלה מי הבעלים של domainsgames.org כעת אנו עשויים להתקרב צעד אחד יותר. או לכל הפחות להחזיר את הדומיינים שהוא גנב לבעליהם בהתאמה.

עכשיו העניין הוא ששם הדומיין domainsgames.org מוגן על ידי Moniker והם מסתירים את כל פרטי הקשר בשבילו.

מזהה תחום: D154519952-LROR
שם תחום: DOMAINSGAME.ORG
נוצר בתאריך: 22-אוקטובר 2008 07:35:56 UTC
עודכן לאחרונה בתאריך: 08-נובמבר-2008 12:11:53 UTC
תאריך תפוגה: 22-אוקטובר 2009 07:35:56 UTC
רשם חסות: Moniker Online Services Inc. (R145-LROR)
סטטוס: הלקוח מחק איסור
סטטוס: העברת לקוחות אסורה
סטטוס: עדכון לקוחות אסור
סטטוס: אסור להעביר
מזהה נרשם: MONIKER1571241
.
.
.
.
שרת שם: NS3.DOMAINSERVICE.COM
שרת שם: NS2.DOMAINSERVICE.COM
שרת שם: NS1.DOMAINSERVICE.COM
שרת שם: NS4.DOMAINSERVICE.COM

אני כבר שלחתי אליהם בדוא"ל (כך גם אדינן) ואעדכן אותך כאן ברגע שאשמע מהם משהו.

יש לי גם כמה בקשות לעקוב אחר חברות שמספקות כעת את שירותיהן לאותו אדם.

כאשר עברו קבצי כותרת בכמה מיילים, היה ברור שההאקר משתמש ב- Google Apps. אנא בדוק את זה. הדומיין הוא domainsgame.org. וגם בבקשה לתקן! ה- Gmail.

ראשית, אנא עזרו לאדינן ופלורין להחזיר את התחום שלהם. דבר חכם לעשות זה לבדוק את כתובות ה- IP של התחברות לחשבון בכל המקרים המדווחים. למשל, גם במקרה של אדינן וגם שלנו (לא בטוח לגבי פלורין) ההאקר השתמש בכתובת IP של 64.72.122.156. (שדרך אגב התגלה כשרת פגום ב- Alpha Red Inc.) או אפילו קל יותר, פשוט נעל את שם הדומיין ובקש מבעל החשבון הנוכחי להוכיח את זהותו. מכיוון שההאקר השתמש בזהויות שונות בכל מקום, אי אפשר היה לעשות זאת. טובתך היא להבטיח שאדם זה כבר לא משתמש בשירותים שלך.

סגור את חשבונו! (זה עבור domainsgame.org). כל מידע נוסף או סיוע נוסף שתוכלו לספק יקבלו הערכה.

אני לא ממש בטוח אבל אני חושב ש- DomainSponsor היא החברה שמייצרת רווחים מהתחומים שהגבר הזה גונב. זה קרה עם MakeUseOf.com ועכשיו מתרחש עם YouMP3.org.

5- ל PayPal. COM: (התמיכה שלך מדהימה)

אני בטוח שהם אפילו לא יקראו את זה אז אני רק אגיד לך במקום זאת. שלחתי דוא"ל לכתובת [email protected] והזהרתי אותם כי האדם שגנב את הדומיין שלנו וסחט אותנו קודם לכן משתמש בחשבון [email protected] (הוא משתמש גם בכמה חשבונות אחרים). רק ביקשתי שיבחנו את זה. במקום זאת אני מקבל אימייל שלא קשור לדברים שאמרתי. בעיקרון מדובר בתבנית דוא"ל שנועדה להיראות אמיתית ונשלחה לאנשים שהתעללו. קדימה! אנו משלמים דמי עמלה של 3% על כל עסקה, האם אתם לא יכולים לספק תמיכה טובה יותר בלקוחות?

זה כל מה שיש לי!

שוב אני מצטער עמוקות על מה שקרה לפלורין ואדין. אני מקווה באמת שהם יחזירו את הדומיינים שלהם בקרוב. הכל בידיהם של הרשמים המתאימים כעת. אבל הכי חשוב, אני רוצה לראות שמשהו גדול שנעשה על ידי החיל הגדול (ולא הלקוחות) כדי לתפוס את אותו אדם. אני בטוח שכל בלוגר שם בחוץ היה מעריך את זה וכנראה שהוא אפילו כותב על זה בבלוג שלו.

הגיע הזמן לשינוי ;-)

כל טוב
אייבק

אשראי תדמיתי: בזכות מכונה לתמונת 'מר קרקר' העליונה

הבחור שמאחורי MakeUseOf.com. עקוב אחריו ו- MakeUseOf בטוויטר @MakeUseOf. לפרטים נוספים עיינו בדף אודות MakeUseOf אודות.