Dostalam dzisiaj spam. Nie zeby to bylo cos nowego, ten jednak jest dosc specjalny.
Wyglada jak wiadomosci z eBay (moja kopia wydaje sie pochodzic ze Szwecji — tak mowi naglowek). Tytul to "eBay Account Suspended" (czyli "Zawieszone konto na eBay"). Wszystko wyglada dobrze, wskazuje na strone eBay...wydaje sie wskazywac. Kod HTML-owy prawdopodobnie mowi wszystko:
<b>To confirm your identity with us click here: </b><br> <a href="http://218.38.12.41/ebay/"> https://www.ebay.com/account/fraudverification/verification.asp?system=0x12
Czyli pokazywany jest odnosnik na ebay, ale w rzeczywistosci prowadzi on na inny adres. Nie ukrywam go. Na tej stronie znajduje sie formularz, identyczny jak na eBay. Sluzy z pewnoscia do zbierania hasel.
Niezla proba, zapewne zadziala w przypadku sporej liczby osob. Brakuje tylko podstawienia adresu w przegladarce.
Ciasteczka (ang. cookies) - male fragmenty danych zbierane podczas przegladania sieci - maja tak dobre, jak i zle zastosowania. Dotychczas myslalam, ze ta druga nie jest znana zwyklemu uzytkownikowi. Badania przeprowadzone przez Jupiter Research (wyniki nie sa dostepne publicznie, trzeba byc ich klientem), a opublikowane na zdnet pokazuja, ze moge nie miec racji.
Autorzy opracowania stwierdzaja, ze 58 procent uzytkownikow skasowalo cookies (prawdopodobnie chodzi o to, ze zrobilo to co najmniej raz w przeszlosci), 39 procent moze to robic co miesiac (zastanawiam sie co znaczy tutaj moze). Co wiecej, 38 procent uwaze, ze ciasteczka zle wplywaja na bezpieczenstwo i prywatnosc.
Jesli te wyniki przedstawiaja prawdziwa sytuacje (nie wiem, jaka liczba uzytkownikow byla pytana itd.), to wszystkie metody bazujace na ciasteczkach i sluzace to sledzenia uzytkownikow staja sie duzo mniej wiarygodne.
Najlatwiejsza metoda pozbycia sie ciasteczek jest blokowanie ich przyjmowania. To jest sposob, ktorego ja uzywam (mam przegladarke ustawiona tak, ze przy pojawieniu sie nowego ciasteczka pyta sie mnie, czy je zaakceptowac, a ja zazwyczaj wybieram opcje Odrzuc). Jak wiele osob postepuje podobnie? Strona ranking.pl twierdzi, ze tylko 3 procent uzytkownikow blokuje ciasteczka. Nalezy jednak stwierdzic, ze strona, ktora zbiera te informacje znajduje sie na liscie popularnych filtrow do Adblocka...
Nie wie co myslec o tych wynikach, szczegolnie jest porowna sie je z danymi z ranking.pl. Poczekam na bowe badania, moze sprawia, ze sprawy beda jasniejsze.
Nie mam pelnych informacji o tym, jak przebiega(l) atak, ale majac oficjalne komunikaty administratorow i wiedzac kiedy nie dzialalo, mozna calkiem duzo stwierdzic... Oto moje gdybania :)
Dzisiejszego ranka na forum sieciowej gry Ogame bylo bardzo goraco. Przyczyna czlego zamieszania prosta - gra nie dziala. Juz poprzedneigo wieczora czesc uzytkownikow miala problemy, ale dzisiaj rano nie dzialalo nikomu.
Po pewnym czasie pojawila sie informacja od adminow, ze gra jest
atakowana i trwaja proby zapobiegania. Dlugotrwaly atak - sprawa jest jasna:
Po ujawnieniu, ze za problemami stoi atak, pojawily sie na wczesniej wspomnianym forum dosc ciekawe komentarze. Pozwole sobie kilka przytoczyc, zanim zostana skasowane.
Chcialbym zaoferowal POMOC przy zalatwieniu tego pajaca co sie probuje do was wlaman. Mam paru qmpli którzy pracuja w dobrych firmach informatycznych wiec prosze adminów na priv napewno odesle wiadomosc z kontaktem do moich przyjaciol.
a tak pozatym z wlasnego doswiadczenia wiem ze jesli gosc siedzi na linuxie i ma dobry masquerade to raczej ciezko bedzie go znalezc to raz dwa gosc ma zmienne ip moze wiec byc moze moze sie logowac na innych ip no i jeszcze proponuje www.hacking.pl tam jest kontakt do chlopaków oni byc moze pomoga. Znam jednego goscia który tam redagowal, sa mili raczej nie odmowia.
.....przecierz mozna namierzyc kto to zrobi?........wiem cos na ten temat Very Happy dostalem wpis do dokumentów za hakerstwo Coolponiewaz to nie ma zadnego celu oraz zadnego powodu.......
Dla adminów radzilbym poczytac troche na stronach o hackingu o zabezpieczeniach serwerow. Na pierwszej lepszej stronie mozna dorwac caly FAQ wraz z explotiem jak sie wlamac do Debiana 2.4.27 Wink Nawet poczatkujacy haker pewnie potrafilby to zrobic. Moze warto pomyslec o zabezpieczeniach Question
Autorow nie podaje, bo chyba nie warto (ale jesli by bardzo chcieli...).
Teksty te sa nie tyle ciekawe z powodu swojej wartosci informacyjnej, a raczej z powodu tego, niewiedze o jakich faktach pokazuja.
Jesli atakiem byl rzeczywiscie DDoS za pomoca zombie, to zapewne system zombie nie byl jednopoziomowy. A dodatkowo, aktywacja ataku zapewne nie zostala zarejestrowana (glownie chodzi o adres zrodlowy) na komputerach ofiar. Jesli atakujacy nie jest jednym ze script-kiddies, to wytropic taka osobe nie jest latwo.
Wyrazy wspolczucia dla adminow, ktorzy nie dosc, ze musza sobie radzic z atakiem (a DDoS jest bardzo trudny do zatrzymania), to jeszcze maja na glowie uzytkownikow.
PS Interesujace, ze we wszystkich postach zalozona zostala plec meska atakujacego.
Pare dni wpadl w moje rece artykul "Remote physical device fingerprinting", ktorego glownym autorem jest T. Kohno.
Tematem jest rozpoznawanie konkretnej maszyny w sieci na podstawie opoznienia zagara. Do tego rozpoznawania uzyta zostala opcja Timestamp TCP.
Wsrod badanych maszyn opoznienia byly stale. Mozliwosc rozpoznawania istnieje, ale... Latwo mozna ja oszukac: wylaczyc ta opcje, uzywac mniejszej rozdzielczosci zegara czy ustawiac czesc bitow znacznika czasu na wartosci losowe.
Nie jest tak, ze praca ta oznacza koniec prywatnosci (jak sugeruje artukul na zdnet). Pomysl wydaje mi sie ciekawy, ale niezbyt nadajacy sie do wykorzystania, szczegolnie jesli sledzonych maszyn mialoby byc bardzo duzo. Duzo ciekawszym (i co wiecej praktycznym) wykorzystaniem tej techniki jest wykrywanie wielu komputerow symulowanych na jednej fizycznej maszynie (bo implementacje czasu w emulatorze honeyd okazaly sie nieidealne i wykazuja odstepstwa od rzeczywistych systemow). Pytanie tylko jak dlugo bedzie to mozliwe, zanim nie powstana odpowiednie poprawki.
Jesli mialoby dojsc do rozpoznawania fizycznych maszyn, potrzebnych jest moim zdaniem wiecej technik, nie powinno sie bazowac tylko na jednej.
Mnie zaciekawily znalezione roznice w implementacji stosow sieciowych. A metoda zmuszenia Windows, zeby wysylac jednak znaczniki, mimo ze przy normalnej konfiguacji ich nie wysyla, jest po prostu swietna (czytaj: implementacja jest dosc kiepska).
Artukul (w formacie PDF) mozna pobrac z CAIDA lub ze strony autora.
Uwaga: wersja z CAIDA ma 10MB (15 stron).