آخر هفته خبری خوندم در مورد یک شرکت که سیستمی رو به اسم “نیمی” معرفی کرده برای استفاده از ضربان قلب کاربر به جای پسورد.

ضربان قلب به جای پسورد

طبق توضیح شرکت، سیستم شناسایی از ۳ بخش تشکیل شده. یک دستبند، یک گردنبند و نهایتا دستگاه سومی مثل تلفن هوشمند یا درهای اتوماتیک و امثال اون. زمانی که برای اولین بر دستبند و گردنبند رو می پوشید و دستتون رو روی گردنبند میذارید، سیستم شناسایی فعال شده و از این به بعد می تونید با استفاده از این سیستم به ابزار و وسایلی که می خواید دسترسی داشته باشید تا زمانی که گردنبند رو باز کنید و سری بعد دوباره شناسایی رو انجام بدید.

نحوه انتقال اطلاعات از گردنبند به ابزار هدف از طریق بلوتوثه و اینجوری فاصله رو با هدف چک می کنه تا در زمان مناسب اقدام بشه. همچنین گفته شده که ژیروسکوپ و شتاب سنج داخلی هم داره این سیستم برای کارآمدتر کردنش و زمان سنجی.

در بحث امنیت این شرکت ادعا کرده که:

• قلب و ریتم قلب چون داخل بدن کاربره از موراد دیگه مثل اثر انگشت امنتره و قابل دزدیدن نیست.
• برای شناسایی شدن کاربر باید هم دستبند رو داشته باشه و هم ریتم قلب خودش رو و هم دسترسی به تلفن هوشمند با نرم افزار مربوطه (و یا هر ابزار دیگه ای که قراره استفاده بشه – توضیح از من)
• استفاده از سخت افزار یکپارچه امنیتی، از اسکیم (skimming) و اسپوف (spoofing) دیجیتال جلوگیری می کند.

در نگاه اول به نظر می رسه که این شرکت با نگاه خوشبینانه سیستم رو شرح داده و در مورد امن بودنش با خیال راحت صحبت کرده.

اول اینکه استناد کرده چون قلب داخل بدن کاربره پس ریتم قلبش به دست دیگران نمی افته در حالیکه به راحتی می شه این ریتم رو به دست آورد، از تاریخچه پزشکی فرد تا نزدیک شدن بهش و استفاده از ابزاری که بتونه این اطلاعات رو جمع کنه.

گفته چون داشتن دستبند و گردنبند الزامیه پس سیستم امنه. اگر کسی خود فرد رو با دستبند و گردنبندش با هم داشته باشه چی؟ ینی دیگه نمی تونی به کاربر بگی باید پسورد رو بدی و اون هم بگه نمی دم 🙂

و خب می رسیم به اصل قضیه. ادعا کرده که دیتاهای ارسالی قابل شنود نیست. ولی با توجه به اینکه گردنبد بعد از سری اول که شناسایی رو انجام می ده با بلوتوث با دنیای اطراف در ارتباطه و اطلاعات رو می فرسته، به صورت تئوریک می شه در نظر گرفت با شبیه سازی یک دستگاه گیرنده، اطلاعات ارسالی رو دریافت کرد و با شناسایی پترن استفاده شده، به سمت شکستن سیستم رمز گذاری و یا کپی و باز ارسالی اطلاعات کرد. با توجه به جستجوهای من، این شرکت ادعا کرده که با شیوه خاص رمزگذاری elliptic curve cryptography از مانیتور کردن اطلاعات جلوگیری می کنه. اما هنوز سوالهای زیادی در این مورد وجود داره که باید تا زمان ارائه آزمایشی سیستم و اقدام عملی برای هک کردنش، منتظر پاسخشون موند.

بعد از یکی دو تا پست گذشته در مورد ارتش الکترونیک سوریه و هک های موفقی که انجام داده و با توجه به اینکه می دونستم روش اصلیشون فیشینگه، کمی در مورد کارهای موفقشون جستجو کردم.

فیشینگ چیست؟
این روش در واقع فریفتن کاربره (با سایت های جعلی و نظیر آن) برای به دست آورد اطلاعات حیاتی مثل پسورد. در ویکیپدیا فارسی می تونید توضیحات بیشتری رو ببینید که من از تکرارشون اجتناب می کنم.

هک شدن واشنگتن پست
بریم سراغ مطلب اصلی. حمله به واشینگتن پست از یه آخر هفته شروع شد. یک صفحه جعلی به شکل لاگین وبمیل سایت اصلی برای برخی از اعضای گروه خبر ایمیل شده بوده احتمالا. اطلاعات دقیقتری پیدا نکردم که چطور فریب دادن نفرات رو برای رفتن به صفحه جعلی ولی معمولا این کار با یک ایمیل جعلی انجام می شه. ارسال ایمیل جعلی با وجود همه روش های جلوگیری از دریافت این ایمیل ها (مثل اسپم فیلترینگ سرویس جیمیل) هنوز امکان پذیره.

صفحه جعلی لاگین به وبمیل

ابتدا یکی از نویسندگان گروه ورزش فریب می خوره و پسوردش رو وارد می کنه. اگر با دقت عکس بالا رو نگاه کنید می بینید که آدرس سایت با آدرس سایت واشنگتن پست متفاوته ولی به خاطر طولانی بودن آدرس و دقت نکردن کاربر، هکر به هدفش رسیده. حالا دیگه کار هکر راحت تره. با استفاده از یه ایمیل شناخته شده (فرض کنید دوستتون) به بقیه قربانی ها ایمیل می زنه. همونطور که در اییل زیر می بینید، گفته شده که از طرف ایمیل هک شده برای سایرین ایمیل های فریب دهنده ارسال می شه

ایمیل داخلی واشنگتن پست

همونطور که از متن برمیاد روی کامپیوتر قربانی هم یک کیلاگر قرار گرفته به احتمال زیاد چون با وجود تغییر پسورد بازهم هکرها به ایمیل دسترسی دارند.

همونطور که در تصویر اول می بینید صفحه جعلی در دامنه site88.net آپلود شده. بیایم یه نگاه دقیقتر به این دامنه بدازیم.
اطلاعات ثبت کننده سایت که مخفی شده:

اطلاعات ثبت کننده و ادمین

عکسهای صفحه اول این دامنه در سال های ۲۰۰۸، ۲۰۱۲ و ۲۰۱۳ نشون می ده که در تمام این سالها دامنه روی سرورهای رایگان ۰۰۰webhost.com استفاده شده.

هک شدن اونیون
این سایت هم توسط گروه SEA هک شد. نقطه شروع از ایمیل جعلی بود که مثلا از طرف یکی از اعضای سازمان ملل برای اعضای این سایت ارسال شد که حاوی لینکی بود به خبری از واشنگتن پست در مورد این اونیون

ایمیل جعلی

این لینک در واقع قربانی رو منتقل می کرد به لینک دومی که این بود:
http://hackedwordpresssite.com/theonion.php
و سپس منتقل می شد به لینک دیگری که این بود:
http://googlecom.comeze.com/a/theonion.com/Service.Login?&passive=1209600&cpbps=1&continue=https://mail.google.com/mail/
لینک سوم که دیگه از کار افتاده و صفحه ای بوده که روی سرورهای رایگان ۰۰۰webhost.com بارگذاری شده بود. این صفحه از قربانی اطلاعات حساب گوگل رو می پرسید و سپس به صفحه گوگل منتقل می شد.

این ایمیل به تعداد محدودی از کاربران فرستاده شده بود که حساسیت ایجاد نکنه. یکی از کاربران فریب می خوره و اطلاعات رو وارد می کنه. حالا هکر با استفاده از اکانت به دست آورده، دوباره ایمیل رو به اعضای سایت می فرسته. اکثر کاربرها لینک رو باز می کنند ولی فقط دو نفر از اونها فریب می خورند و پسوردشون در اختیار هکر قرار می گیره. یکی از اونها به اکانت های شبکه های اجتماعی سایت دسترسی داشته. اینجوری می شه که اکانت های سایت هک می شه.
حالا زمانی می رسه که پشتیبان های امنیت سایت متوجه می شن و ایمیلی به همه اعضا می فرستند که سایت هک شده و پسوردشون رو تغییر بدن. هکرها دوباره از این موقعیت استفاده می کنند و ایمیل مشابهی به کاربران (منهای اعضای آی‌تی) می فرستند و لینک صفحه فیشینگ دیگه ای رو به اسم لینک تغییر پسورد می فرستند. این حمله جدید منجر به فریب دو عضو دیگه می شه که یکی از اونها دسترسی به اکانت توییتر سایت داشته و بنابرای اکانت توییتر هم در اختیار هکرها قرار می گیره.
در این مرحله آِ‌تی به این نتیجه می رسه که تشخیص امن و هک شده بودن اکانت ها غیر ممکنه. بنابراین پسورد همه اکانت ها رو شخصا تغییر می ده.

همونطور که قبلا هم گفتم اون ضرب المثل معروف رو، امنیت یک مجموعه به اندازه امنیت ضعیف ترین بخش اون مجموعه است. اینجاست که باز هم می رسیم به نگرش غلط مدیران آی‌تی ایرانی مبنی بر بیشتر کردن محدودیت کاربرها برای داشتن امنیت بیشتر. برای جلوگیری از حملاتی مثل فیشینگ، قدم اول آموزشه، قدم دوم تقویت سیستمهای فیلتر کردن ایمیل های فیشینگ و قدم سوم طراحی سیستم های دسترسی و توزیع ایمیل ها و اکانت ها بر پایه یک ساختار امن.

منبع و منبع

هفته گذشته رو می شه اختصاص داد به ارتش الکترونیک سوریه SEA. هم تونستن توییتر و نیویورک تایمز رو هک کنند (تغییر DNS) و هم خودشون هک شدن (البته تکذیب می کنند).
اطلاعات مختلفی از حداقل دو منبع در مورد این گروه به بیرون درز کرده. که بعد در سایت های مختلف بخشی از آنها تکرار شده. آنچه که در مورد این گروه گفته می شه و شایعاتی که بوده با فاش شدن عکس های سرور هک شده سایتشون و تاریخچه دستورات اجرا شده و نیز لیست اسامی و ایمیل ها و آدرس لینکدین اونها، تقویت شده. اینکه نفر اصلی این گروه شخصی به اسم حاتم دیب، یک سوری الاصل ساکن سنت پترزبورگ روسیه است. همچنین مدیر سایت این گروه فردی به اسم Ali Farha است که همسن حاتم و هم‌دانشگاهی اون در سوریه است. روزنامه دولتی سوریه در مقاله ای که در سال ۲۰۱۱ چاپ کرد، اطلاعاتی در مورد این گروه و حاتم دیب را منتشر کرده است.

ایمیل ادمین سایت که منسوب به حاتم دیب است

هفته گذشته ابتدا یک تصویر که نشان دهنده بخشی از اطلاعات کاربران سایت این گروه بود منتشر شد.

لیست کاربران سایت متعلق به SEA

پس از مصاحبه یکی از اعضای این گروه با سایت mashable و تکذیب هک شدن سایتشون و یا نگهداری اطلاعات حساس روی سرورها و نیز تکذیب رابطه کاری با حاتم، بخش بزرگی از اطلاعات مرتبط با این گروه در سایتی منتشر شد. این سایت فقط از طریق شبکه tor قابل دسترسیه اما یک سایت فرانسی گزارشی از اطلاعات منتشر شده را کار کرده است (توجه: این سایت حاوی عکس هاییه که ممکنه نخواهید ببینید)

لیست فولدرهای سرور

و البته کاربرها:

اکانت های توییتر و لینکدین اعضای گروه

جالبه که یه سری از عکس های شخصی اعضای گروه در اکانت دراپ باکسشون هم لو رفته که بعضی هاش عکس های خیلی شخصیه 🙂

همچنین تاریخچه دستورات اجرا شده روی سرور نشون می ده که ادمین از مسنجر imo استفاده می کنه

تاریخچه دستورات

و البته یک نکته جالب دیگه. دایرکتوری ادمین سایت محدودیت IP داره و با چک کردن لیست IP های مجاز به عکس زیر می رسیم:

لیست IP های مجاز

این لیست شامل تعدادی از ناشناس کننده های سرویس tor و تعدادی سایت در اردن است. مهمترین نکته قرار گرفتن IP وزارت آموزش عالی اردن و وابسته فرهنگی عربستان در اردن در این لیسته.

البته بعد از انتشار این اسناد اکانت توییتر منتسب به گروه “ارتش الکترونیک سوریه” اعلام کرد عکس ها تقلبی بوده و یا مربوط به هک اتفاقی بعضی آدم های طرفدار حکومت سوریه است.

اطلاعات این پست برگرفته از اینجا، اینجا و اینجاست.