Πρέπει να παραδεχτούμε και να νοιώσουμε (κάποιοι) τυχεροί, που ζήσαμε την γέννηση μιας επανάστασης που κατά την γνώμη του γράφοντος είχε να συμβεί από την εποχή της ανακάλυψης του τροχού: Την επανάσταση του διαδικτύου και της ηλεκτρονικής εποχής.
Το διαδίκτυο, εκτός των άλλων πλεονεκτημάτων (φιλοσοφικών και μη), τείνει να μας απαλλάξει από πάρα πολλές κουραστικές, κοπιαστικές, χρονοβόρες και εκνευριστικές διαδικασίες, όπως: Το στήσιμο στην ουρά κάποιου ταμείου για την πληρωμή των λογαριασμών μας, την παρακολούθηση του λογαριασμού μας στην τράπεζα, την αγορά σχεδόν όλων των αγαθών από ηλεκτρονικά καταστήματα (μπορούμε να αγοράσουμε από βιβλία μέχρι… βιβλιοπωλεία!), το να πηγαινοερχόμαστε στο ταχυδρομείο για την αλληλογραφία μας και πάρα πολλά άλλα που εύκολα θα απαιτούσαν 10Gb χώρο, μην αφήνοντας να σας πούμε τίποτε άλλο…!
Όλα αυτά τα καταπληκτικά μπορούμε να τα κάνουμε ήρεμα και ωραία από την πολυθρόνα του σπιτιού μας. Δεν είναι πολύ καλύτερα έτσι; Φυσικά! Δεν είναι πολύ καλύτερα από το να τρέχουμε στους δρόμους μέσα στο κρύο ή τη ζέστη, μέσα στο στριμωξίδι και την βιασύνη; Άσε που έξω, έχεις να αντιμετωπίσεις και τα αδιάκριτα βλέμματα του κάθε κουτσομπόλη. Τι ώρα βγήκες, τι ώρα μπήκες, που πήγες, κλπ. Άλλωστε, ποτέ δεν ξέρεις πόσα μάτια σε παρακολουθούν πίσω από κάποιες «γρίλιες»! Το πρόβλημα όμως είναι ότι αυτές οι «γρίλιες» μπορεί να είναι και… ηλεκτρονικές!
Στο άρθρο αυτού θα μπούμε στην θέση του ατόμου πίσω από την γρίλια. Όχι όμως αυτήν με την φυσική υπόσταση, αλλά την εικονική, την virtual: Θα δούμε πόσο εύκολο είναι να παρακολουθήσουμε κάποιον (έστω άγνωστο) και να συλλέξουμε με ελάχιστη προσπάθεια σχεδόν όλα του τα προσωπικά στοιχεία. Όλα αυτά, χωρίς να χρησιμοποιήσουμε κανένα παράνομο λογισμικό και καμιά αδυναμία κανενός συστήματος και χωρίς να ξοδέψουμε τίποτε περισσότερο από το ρεύμα που κατανάλωσε ο υπολογιστής μας. Ο μόνος μας οδηγός: Η Google.
Σε μια εποχή που η ασφάλεια των προσωπικών δεδομένων αρχίζει να ευαισθητοποιεί ακόμα και τους δημόσιους φορείς(!!), θα παρουσιάσουμε με πόση ευκολία μπορεί κάποιος να αποκτήσει πρόσβαση σε πάρα πολύ προσωπικά στοιχεία κάποιου ατόμου, όπως, το επάγγελμα του, την φωτογραφία του, το ονοματεπώνυμο του, την ηλικία του, τα στοιχεία της οικογένειας του, τις προτιμήσεις του (κρυφές και μη!), τις πιστωτικές του κάρτες, τους λογαριασμούς του στην τράπεζα, τους οικονομικούς λογαριασμούς του στα διάφορα internet sites (βλέπε PayPal) κλπ. Σκεφτήκατε ότι προχωρήσαμε αρκετά ε; Χμ… δεν έχετε διαβάσει ακόμα τίποτα!
Επίσης, θα παρουσιάσουμε πόσο εύκολα μπορούμε να “κλέψουμε” την “ταυτότητα” του θύματος μας και να εμφανιζόμαστε στο internet (τουλάχιστον) σαν να είμαστε αυτός ή αυτή! Σας θυμίζει κάτι από… πράκτορα 007; Σας βεβαιώνουμε πως ότι παρουσιάσουμε είναι απόλυτα πραγματικό, μπορεί να συμβεί στον καθένα μας και θα σας το αποδείξουμε. Φυσικά όμως, στο τέλος θα σας δώσουμε και όλα τα απαραίτητα «βοηθήματα» και οδηγίες έτσι ώστε να μην πέσετε ή να είναι πολύ δύσκολο να πέσετε κι εσείς θύμα μιας τέτοιας καθόλου ευχάριστης κατάστασης.
Την ιστορία θα σας την παρουσιάσουμε ακριβώς όπως συνέβη, χωρίς σάλτσες ή πρόσθετα. Με αυτόν τον τρόπο θα υποπτευθείτε πώς κάποιος εξίσου περίεργος με εμάς αλλά καθόλου τίμιος (σε αντίθεση με εμάς) μπορεί να «εργαστεί».
Ας ξεκινήσουμε λοιπόν. Από πού αλλού: Από τη google! Ένα απόγευμα, λοιπόν, είχαμε όρεξη για «ψάξιμο». Για αρχή, δώσαμε στον αγαπητό γούγλη να ψάξει για καταλόγους οι οποίοι περιέχουν το αρχείο classifieds.cgi. Δηλαδή:
intitle:”Index of” classifieds.cgi
Αφού «πήραμε» σαν αποτέλεσμα μια αρκετά μεγάλη λίστα από τοποθεσίες, αρχίσαμε να μπαίνουμε σε κάθε μία, μήπως και βρούμε κάτι ενδιαφέρον. Μετά από πολύ λίγο ψάξιμο βρήκαμε ένα κατάλογο με μπόλικους… υπο-καταλόγους προσβάσιμους από το Internet. Αυτό δεν και απαραίτητα κακό, αρκεί κάποιος να μην έχει ξεχάσει εκεί σημαντικές πληροφορίες! Για άλλη μια φορά δεν διαψευστήκαμε. Άλλωστε λίγες είναι οι φορές που ψάξαμε σε καταλόγους που «κατά λάθος» επέτρεπαν το λεγόμενο «directory listing» και δεν βρήκαμε τίποτε σημαντικό ή ενδιαφέρον. Κάποιος ξεχασιάρης διαχειριστής (για να μην πούμε τίποτε βαρύτερο – αν και θα ‘πρεπε!) είχε ξεχάσει σε μια σκοτεινή (ομολογουμένος) γωνιά του δίσκου ένα αρχείο με τους κωδικούς, τα passwords τα emails και λοιπά στοιχεία των χρηστών ενός site (εικόνα 1).
Χμ… τι έχουμε λοιπόν; Μια λίστα με κωδικούς passwords κάποιων χρηστών μαζί με τα email τους. Οk, με τον κωδικό και το password μπορούμε να μπούμε στο site ακόμα και σαν admin μιας και ο Κος διαχειριστής φρόντισε να μην μας λείψει καμιά πληροφορία! Αυτό όμως δεν μας φτάνει. Θέλουμε να δοκιμάσουμε και την θεωρία μας. Θα πείτε (και με το δίκιο σας) «Ποια είναι η θεωρία σας;». Η θεωρία μας (αν είναι και μυστικό… μην διαρρεύσει ε;) είναι ότι ένα πολύ μεγάλο ποσοστό χρηστών έχουν το ίδιο password για όλες τις δραστηριότητες τους στο διαδίκτυο. Αυτό συμβαίνει διότι οι περισσότεροι βαριούνται ή μπερδεύονται (ή τέλος πάντων και τα δύο) να διατηρούν και να θυμούνται πολλά passwords. Ok, αυτό κάπου είναι λογικό. Αυτό που δεν είναι λογικό όμως είναι να χρησιμοποιούν το ίδιο password παντού π.χ. το password του βασικού τους email να είναι ίδιο με αυτό που εγγράφηκαν σε ένα forum. Με βάση αυτή την θεωρία μας, λοιπόν, έχουμε διαπιστώσει ότι ένα περίπου 30% των χρηστών ενός site πέφτει σε αυτήν την παγίδα.
Θα δοκιμάσουμε τώρα το εξής: Θα ψάξουμε όλους τους χρήστες με yahoo email και θα δοκιμάσουμε σε έναν-έναν από αυτούς να μπούμε στο λογαριασμό τους, έτσι για να δούμε σε ποιον θα πετύχουμε. Όλως τυχαίως ο 3ος χρήστης κατά σειρά εμφάνισης στην Εικόνα 1, παρουσίασε αυτό το πρωτότυπο “vulnerability” (εικόνα 2)! Σας λέει κάτι αυτό; – μήπως κάτι σε… 33% ;-). Όπως θα δούμε παρακάτω ο χρήστης αυτός δεν είναι τόσο… αυτός όσο αυτή, γεγονός που δεν θα μας απασχολήσει καθόλου μιας και δεν είμαστε ρατσιστές όσο αφορά στο φύλο ;-).
Πρόκειται για την αλληλογραφία της Κας Lynn (εντάξει μην φωνάζετε, το μικρό της όνομα μαρτυρήσαμε μόνο!!). Απ’ ότι βλέπουμε στο MyFolders η Κα Lynn τα έχει όλα προσεγμένα και… νοικοκυρεμένα: Τα προσωπικά της μηνύματα σε ένα folder, τα εργασιακά της σε άλλο, τα forums που είναι γραμμένη σε άλλο κλπ κλπ. Άξιο λόγου είναι και το πλήθος των emails που διατηρεί στο yahoo: ούτε λίγο ούτε πολύ είναι… 13969! Σημαδιακός αριθμός; Ίσως! Είναι πια θέμα χρόνου να βρούμε όλα της τα δεδομένα. Δώστε βάση πόσο εύκολο είναι, αρκεί να ψάξουμε για μερικά βασικά στοιχεία:
Βασικό στοιχείο #1: Ψάχνουμε για mails που να καλωσορίζουν την Lynn σαν νέο μέλος σε κάποιο forum. Σε αυτά τα mails υπάρχουν συνήθως πληροφορίες χρήστη και password. Ένα τέτοιο mail είναι το ακόλουθο:
Μπαίνοντας στο forum με τον κωδικό της μπορούμε να βρούμε ακόμα περισσότερα στοιχεία για την ίδια. Επίσης μπορούμε να απαντήσουμε σε άλλα μέλη σαν να είμαστε η Κα Lynn (βλέπε impersonation). Με λίγα λόγια μπορούμε να υποδυθούμε την Κα Lynn, να κάνουμε ερωτική εξομολόγηση σε κάποιον φίλο της, να απορρίψουμε κάποιον άλλον και γενικά να τα κάνουμε όλα ένα «μπάχαλο» στη ζωή της.
Επίσης μέσα στο forum βρήκαμε και ένα μια πολύ ενδιαφέρουσα ομάδα πληροφοριών που έχει τον τίτλο “View Profile”. Πρόκειται για τα προσωπικά στοιχεία της Κας Lynn μαζί με την φωτογραφία της! Στην ίδια θέση βρίσκεται και το βιογραφικό της μαζί με τηλέφωνα, διευθύνσεις και ονόματα φίλων και συγγενών (εικόνα 4).
Με βάση το είδος του forum και τα δεδομένα αυτά μπορούμε να συμπεράνουμε βασικά στοιχεία για τις προτιμήσεις της Κας Lynn και έχοντας το τηλέφωνο της να «ενημερώσουμε[1]» εταιρίες προώθησης προϊόντων για να τις πλασάρουνε είδη (με βάση τις προτιμήσεις της) έχοντας μεγάλη πιθανότητα να τα αγοράσει! Το ίδιο μπορούμε να κάνουμε για τους… οικείους της ;-). Μιας που γνωρίσαμε όλη την οικογένεια, γιατί να μην το εκμεταλλευτούμε;
Αφού μιλήσαμε για spam και spammers, να μην παραλείψουμε να αναφέρουμε ότι η χαρά του spammer είναι να «βουτάει» σε μια θάλασσα από υπαρκτά emails. Για άλλη μια φορά, έχοντας σαν στόχο το κέρδος, δεν θα τον απογοητεύσουμε, δίνοντας του μια μικρή λίστα από καμιά 100στή πραγματικά mails που βρήκαμε στο λογαριασμό της δημοφιλούς (μα την αλήθεια) Κας Lynn (εικόνα 4b).
Σε ένα άλλο mail βρήκαμε κάτι εξίσου ενδιαφέρον. Πληροφορίες, usernames και passwords για κάποια domains. Χμ… μήπως η Κα Lynn διατηρεί κάποια sites στο Internet; Ε ναι! Μάλιστα μπήκαμε και στον Domain manager της, εκεί που έχει δηλωμένα όλα τα URL που χρησιμοποιεί (εικόνα 5).
Μπορούμε εύκολα να αλλάξουμε το password του domain manager και να μην μπορεί να μπει η ίδια και να αλλάξουμε τους DNS servers ανακατευθύνοντας όλα τα URLs σε μια άλλη διεύθυνση κάνοντας ένα πρώτης τάξεως deface, ή στέλνοντας της σελίδες της στο URL κάποιου άλλου, ενοχοποιώντας τον! Κακία ε;
Αλλά,… ώπα! Εδώ υπάρχει κάτι πιο σοβαρό: μια επιλογή “My Wallet” (που για όσους δεν κατάλαβαν σημαίνει «Το πορτοφόλι μου»). Μπαίνοντας εκεί έχουμε τα στοιχεία της πιστωτικής κάρτας της Κας Lynn. Εντάξει δεν είναι όλο το νούμερο της κάρτας αλλά όλα τα άλλα στοιχεία (περιοχή, τηλέφωνο, πόλη κλπ) και δεν είναι καθόλου αμελητέα η πληροφορία (εικόνα 6). Δώστε βάση στο url της εικόνας. Πρόκειται για ασφαλή σύνδεση (https). Όσο ασφαλής, όμως, κι αν είναι μια σύνδεση, πάντα υπάρχει μια πόρτα κοντά ή μακριά η οποία την παρακάμπτει (“καλή” ώρα).
Και τώρα ερχόμαστε στο πιο κακό κομμάτι της αναζήτησης. Το yahoo-mail έχει ένα πολύ χρησιμο button που ονομάζετε «Αναζήτηση». Πατώντας το, μπορούμε να αναζητήσουμε μια σειρά χαρακτήρων (π.χ. κάποιες λέξεις) που να εμφανίζεται σε ένα η περισσότερα emails. Μπορούμε να ψάξουμε για όποια λέξη θέλουμε. Εμείς επιλέξαμε εντελώς τυχαία… την λέξη «PayPal». Για όσους δεν… θυμούνται(!!) PayPal είναι μια υπηρεσία στο internet που μπορείς να την συνδέσεις με τον τραπεζικό σου λογαριασμό ή με την πιστωτική σου κάρτα και με την οποία μπορείς να κάνεις αγορές δίνοντας μόνο τον κωδικό PayPal και όχι τον ίδιο τον αριθμό της κάρτας σου. Να πούμε ότι βρήκαμε πολλά email PayPal Account, αλλά πουθενά δεν βρήκαμε το password του PayPal της Κας Lynn. Χμ… δεν χρειάζεται! Αυτό που μπορούμε να κάνουμε είναι να πάμε στο PayPal, να δώσουμε το email της Lynn και να τους πούμε ότι… ξεχάσαμε το password (εικόνα 7)!!
Αμέσως το PayPal θα στείλει στο mail της Lynn ένα νέο password θεωρώντας ότι μόνο η πραγματική Lynn έχει πρόσβαση στο mail της. Αυτό ήταν! Μπορούμε να κάνουμε πια αγορές με την πιστωτική ή τραπεζική κάρτα της Lynn μέσω Paypal.
Μπορούμε να κάνουμε πολλά πράγματα ακόμα αλλά ας σταματήσουμε εδώ. Αρκετά «παίξαμε» με την Κα Lynn. Ας δοκιμάσουμε και κανένα άλλο yahoo mail που βρήκαμε στην λίστα μας… Λέτε να φανούμε το ίδιο τυχεροί (εικόνα 8);
Γειά σας κύριε Craig! Είμαστε έτοιμοι να γνωρίζουμε τα μυστικά σας! Η ιστορία επαναλαμβάνεται.
Συμπεράσματα και τρόποι προστασίας
Παρουσιάσαμε ένα πάρα απλό τρόπο που μπορεί κάποιος να παραβιάσει την ιδιωτική ζωή (και την οικονομική επίσης) ενός άλλου ανθρώπου χωρίς ο άλλος να καταλάβει το παραμικρό. Παραβιάσαμε ένα σωρό σελίδες και ασφαλείς συνδέσεις μόνο και μόνο επειδή κάποιος χαζός admin αποφάσισε να αφήσει τα στοιχεία των χρηστών του σε κάποιο κατάλογο προσβάσιμο από το web. Θα αναρωτηθείτε και με το δίκιο σας: «Μα καλά! Όλη η ιδιωτική μου ζωή είναι στα χέρια ενός χαζού admin;». Χμ… η απάντηση είναι «Δυστυχώς ναι, αν δεν τηρείτε κάποιους βασικούς κανόνες ασφάλειας». Αν έχετε το ίδιο password στο forum της γειτονιάς σας με αυτό που έχετε για να μπείτε στην τράπεζα σας, κανείς δεν σας φταίει αν ξαφνικά δείτε ένα λογαριασμό 2000€ για το ταξίδι που μόλις κλείσατε στο Ανατολικό Τιμόρ!
Δώστε λοιπόν βάση σε μερικούς μικρούς αλλά χρυσούς κανόνες για να μην βρεθείτε προ δυσάρεστων εκπλήξεων:
- Μην «ντρέπεστε» να χρησιμοποιήσετε πολλά passwords! Αν δεν τα θυμάστε κατεβάστε έναν Password Manager (κυκλοφορούν πολλοί και δωρεάν). Π.χ. μπορείτε να δοκιμάσετε το KeePass (http://keepass.info/), το οποίο είναι δωρεάν, χρησιμοποιεί ισχυρή κρυπτογράφηση (AES, Twofish) και μπορεί να λειτουργήσει σε Linux σε Windows και σε Android.
- Οπωσδήποτε να έχετε άλλο email για τα Public sites και άλλο email με τους προσωπικούς σας λογ/μούς, τα PayPal accounts κλπ.
- Να επιλέγετε passwords μεγαλύτερα από 10 χαρακτήρες (εντάξει και μικρότερα από 100) που να περιέχουν πεζά, κεφαλαία, αριθμούς και ειδικούς χαρακτήρες. Ειδικοί χαρακτήρες είναι αυτοί που στα παλιά Κόμικς τους βάζανε αντί «μπινελικίων», όταν ο ήρωας ήταν εκνευρισμένος και άρχισε να «κατεβάζει»… διάφορα. Π.χ. «@!!~~–//_\\».
- Διαγράφετε πάντα τα emails που αναφέρουν κωδικούς και passwords. Προσέξτε να τα διαγράψετε και από τα… διαγραμμένα!
Τέλος, μην εμπιστεύεστε κανέναν και μην ξεχνάτε ποτέ τον γενικό κανόνα ασφάλειας στην πληροφορική:
Η αλυσίδα είναι τόσο δυνατή όσο ο ασθενέστερος κρίκος της
Το τρέχον άρθρο αποτελεί σύνθεση τριών παρόμοιων άρθρων που είχα γράψει ο ίδιος στα εξής μέσα:
- Total XakeR #22 (Ελληνικό περιοδικό για Hacking {ΔΟΛ & 4π εκδόσεις} – δεν κυκλοφορεί πια).
- Hackin9 12/11: Αγγλική έκδοση διαδικτυακού περιοδικού για Hacking – http://tinyurl.com/kxkxsks).
- P0wnbox.com: Ελληνικό forum για security και ethical hacking (http://tinyurl.com/n4ntqet).
- Δυστυχώς, φαίνεται ότι αντιγράφτηκε και δημοσιεύτηκε (χωρίς παραπομπή στην πηγή) και από άλλα forums (σε περίπτωση που το πάρει το μάτι σας και κάπου αλλού)!
——
[1] Εννοούμε να… πουλήσουμε τις πληροφορίες μας!
Ευχαριστούμε θερμά το μέλος της SecTeam @Thiseas.
 τυχεροί, που ζήσαμε την γέννηση μιας επανάστασης που κατά την γνώμη του γράφοντος είχε να συμβεί από την εποχή της ανακάλυψης του τροχού: Την επανάσταση του διαδικτύου και της ηλεκτρονικής εποχής.){kind=link}