امنیت

خطر نشت اطلاعات در کمین مالیات‌دهندگان کانادایی

همه سال در این بازه زمانی، ساکنین کانادا در التهاب اعلام وضعیت مالی به Canada Revenue Agency (سازمان درآمد کانادا) بوده و فرم به دست در حال تکمیل و ارسال اطلاعات مالیشونند. به دلیل تعدد فرم‌ها، بعضی موسسات مالی شکل گرفتند که کار دریافت اطلاعات خام و تکمیل فرم‌ها رو توسط اپلیکیشن‌های دسکتاپ یا اینترنتی، انجام می‌دن. سوال برای من پیش اومد که آیا خطر نشت اطلاعات حیاتی این افراد وجود نداره؟ بنابراین سرویس ufle رو بررسی کوتاه کردم. این سرویس در لیست مورد تایید سازمان دولتی مربوطه قرار داره و طبق اعلام خودشون بیش از یک میلیون کاربر داره.

اعتماد کنیم؟

هرچند صفحه اصلی سایت به صورت پیش‌فرض از https استفاده نمی‌کنه و دلیلش رو نمی‌دونم اما زمان ساخت اکانت و ورود اطلاعات، کاربرها وارد زیردامنه https://secure.ufile.ca می‌شوند که به نظر می‌رسه امنیت لازم رو داره. با توجه به اینکه مجوز تست‌نفوذ رو نداشتم، به محیط کاربری و بررسی کلی سایت بسنده کردم.

وجود مشکل در قدم اول خودش رو نشون داد. امکان انتخاب پسورد ۱۲۳۴۵۶۷۸ که نمایشگر سایت اون رو پسورد متوسطی اعلام می‌کرد. ممنوعیت استفاده از همچین پسوردهایی، جزو بدیهیات مدیرت سایتی با اطلاعات حساسه.

ایمیل تایید ساخته شدن اکانت که به دستم رسید، مشکل بعدی خودش رو نشون داد. پسورد رو ایمیل نکرده بودند که کار درستی است اما قفل قرمز رنگ گوشه تصویر نشون می‌ده که گوگل این ایمیل رو بدون رمزنگاری دریافت کرده.

عدم استفاده از رمزنگاری

اون قفل قرمز، یکی از کارهای جدید گوگله که نشون می‌ده سرویس ایمیلی که دارید باهاش مکاتبه می‌کنید از STARTTLS استفاده می‌کنه یا خیر. کوتاه اگر بخوام بگم کاری که STARTTLS برای ایمیل انجام می‌ده، شبیه کاریه که https در صفحات وب انجام می‌ده. در واقع از انتقال اطلاعات به صورت ساده و قابل خوندن برای همه، جلوگیری می‌کنه و امکان دستکاری اطلاعات و یا دزدیدنشون رو به دیگران نمی‌ده. در غیر اینصورت هرکسی که در مسیر رد و بدل اطلاعات باشه، کنترل کامل روش خواهد داشت. مثل اینکه سایتی رو بدون https باز کنید و سرویس‌دهنده اینترنت، شرکت زیرساخت و حتی کسی که کنترل مودم شما رو داره، می‌تونه متن سایت‌هایی که بازدید کرده باشید رو خبر داشته باشه. در مورد ایمیل هم در صورت عدم استفاده از STARTTLS، همه واسطه‌های رد و بدل اطلاعات می‌تونند متن ایمیل رو بخونند و یا حتی تغییر بدن.

بررسی بیشتر نشون داد که گوگل حق داشته که اخطار بده.

نشت اطلاعات

آدرس سرور میل این سایت mail.ufile.ca است که سرتیفیکت استفاده شده روی این آدرس ۶ سال پیش منقضی شده. هرچند این سرتیفیکت برای سرویس ایمیل استفاده نشده.

SSL

اجازه بدید مثل یک هکر فکر کنیم و فرض کنیم به زیرساختی دسترسی داریم که می‌تونیم ایمیل‌های ورودی و خروجی به این سرور رو مشاهده کنیم، چطور می‌شه سواستفاده کرد؟ در نظر بگیریم که پسورد هم ارسال نمی‌شه. من رفتم سراغ گزینه فراموشی پسورد. با اعلام این گزینه، ایمیل زیر رو دریافت کردم.

فراموشی پسورد

هکر (یا هر کس دیگه) می‌تونه با دیدن این ایمیل، به آدرس گفته شده بره و قبل از استفاده من از PIN ارسال شده، پسوردم رو تغییر بده و وارد اکانت بشه.

غیر از تغییر رمز، کلیه ایمیل‌های پشتیبانی که می‌تونه شامل هر اطلاعاتی بشه هم از همین سرویس ایمیل استفاده می‌کنه.

نکته:

اگر از آدرسی ایمیل گرفتید و این نشانگر قفل قرمز رو در جیمیل دیدید، از کسی که بهتون ایمیل زده بخواید که از سرویس بهتری استفاده کنه چون امکان نشت اطلاعات وجود داره. همچنین از ارسال اطلاعات حساس به اون سرویس خاص جلوگیری کنید و یا از رمزگزاری PGP استفاده کنید تا اطلاعات رو از دید دیگران مخفی کنید.

Standard
امنیت

اطلاعات جدیدی در مورد ارتش الکترونیک سوریه

هفته گذشته رو می شه اختصاص داد به ارتش الکترونیک سوریه SEA. هم تونستن توییتر و نیویورک تایمز رو هک کنند (تغییر DNS) و هم خودشون هک شدن (البته تکذیب می کنند).
اطلاعات مختلفی از حداقل دو منبع در مورد این گروه به بیرون درز کرده. که بعد در سایت های مختلف بخشی از آنها تکرار شده. آنچه که در مورد این گروه گفته می شه و شایعاتی که بوده با فاش شدن عکس های سرور هک شده سایتشون و تاریخچه دستورات اجرا شده و نیز لیست اسامی و ایمیل ها و آدرس لینکدین اونها، تقویت شده. اینکه نفر اصلی این گروه شخصی به اسم حاتم دیب، یک سوری الاصل ساکن سنت پترزبورگ روسیه است. همچنین مدیر سایت این گروه فردی به اسم Ali Farha است که همسن حاتم و هم‌دانشگاهی اون در سوریه است. روزنامه دولتی سوریه در مقاله ای که در سال ۲۰۱۱ چاپ کرد، اطلاعاتی در مورد این گروه و حاتم دیب را منتشر کرده است.

ایمیل ادمین سایت که منسوب به حاتم دیب است

ایمیل ادمین سایت که منسوب به حاتم دیب است

هفته گذشته ابتدا یک تصویر که نشان دهنده بخشی از اطلاعات کاربران سایت این گروه بود منتشر شد.

لیست کاربران سایت متعلق به SEA

لیست کاربران سایت متعلق به SEA

پس از مصاحبه یکی از اعضای این گروه با سایت mashable و تکذیب هک شدن سایتشون و یا نگهداری اطلاعات حساس روی سرورها و نیز تکذیب رابطه کاری با حاتم، بخش بزرگی از اطلاعات مرتبط با این گروه در سایتی منتشر شد. این سایت فقط از طریق شبکه tor قابل دسترسیه اما یک سایت فرانسی گزارشی از اطلاعات منتشر شده را کار کرده است (توجه: این سایت حاوی عکس هاییه که ممکنه نخواهید ببینید)

لیست فولدرهای سرور

لیست فولدرهای سرور

و البته کاربرها:

اکانت های توییتر و لینکدین اعضای گروه

اکانت های توییتر و لینکدین اعضای گروه

جالبه که یه سری از عکس های شخصی اعضای گروه در اکانت دراپ باکسشون هم لو رفته که بعضی هاش عکس های خیلی شخصیه 🙂

همچنین تاریخچه دستورات اجرا شده روی سرور نشون می ده که ادمین از مسنجر imo استفاده می کنه

تاریخچه دستورات

تاریخچه دستورات

و البته یک نکته جالب دیگه. دایرکتوری ادمین سایت محدودیت IP داره و با چک کردن لیست IP های مجاز به عکس زیر می رسیم:

لیست IP های مجاز

لیست IP های مجاز

این لیست شامل تعدادی از ناشناس کننده های سرویس tor و تعدادی سایت در اردن است. مهمترین نکته قرار گرفتن IP وزارت آموزش عالی اردن و وابسته فرهنگی عربستان در اردن در این لیسته.

البته بعد از انتشار این اسناد اکانت توییتر منتسب به گروه “ارتش الکترونیک سوریه” اعلام کرد عکس ها تقلبی بوده و یا مربوط به هک اتفاقی بعضی آدم های طرفدار حکومت سوریه است.

اطلاعات این پست برگرفته از اینجا، اینجا و اینجاست.

Standard