چند روز پیش خبری منتشر شد از هک تایم لاین مارک زاکر برگ. قضیه از این قرار بود که یک ضعف امنیتی در فیسبوک اجازه می داد که از طرف هر فردی که بخواهید، استاتوسی را منتشر کنید. کسی که این ضعف را پیدا کرد، هکری فلسطینی به اسم خلیل شریتح بود. خلیل ابتدا این باگ را به تیم امنیتی فیسبوک اعلام کرد و پس مدت زمان زیادی با جواب غیرمنطقی رو به رو شد: “گزارش شما یک باگ واقعی نیست”.خب اینجا بود که خلیل تصمیم گرفت تایم لاین خود مارک زاکربرگ رو هک کند تا پیامش رو واضح به تیم امنیتی این سایت برسونه.

عکسی از صفحه هک شده مارک زوکربرگ

پس از این اتفاق، مدیر امنیتی فیسبوک در بیانه ای اعلام کرد که اطلاعات اولیه ای که هکر فرستاده بوده ناقص بوده و باعث شده که تیم امنیتی اهمیت موضوع رو متوجه نشن. او همچنین اضافه کرد که تغییراتی رو در سیستم گزارش باگ خواهند داد که این اشتباهات به حداقل برسه.

و حالا می رسیم به اتفاق روز گذشته. هکری ۱۷ ساله از مراکش به اسم محمد البوکیتوی Mohamed El Boukioty تونست ایمیل، فیسبوک و تویتر جناب خلیل شریتح رو هک کنه. ماجرا از اینجا شروع می شه که محمد ایمیلی به خلیل می زنه و می گه که ایمیلش ضعف امنیتی داره منتها خلیل اشتباه فیسبوک رو تکرار می کنه و به گزارش محمد توجهی نمی کنه. محمد هم برای اینکه جدی بودن ضعف امنیتی رو نشون بده سعی می کنه از طریق پرسش امنیتی، پسورد ایمیل رو بشکنه و موفق می شه. پس از دسترسی به ایمیل khalil1828@hotmail.com، محمد می تونه پسورد فیسبوک خلیل رو هم ریست کنه و توی  فیسبوک استاتوسی از طرف اون بذاره که: “من هکر نیستم، فقط می خوام به خلیل اعلام خطر کنم. او به زودی اکانتش رو به دست میاره. متاسفم.”

استاتوس اعلام هک کردن و عذرخواهی هکر

۳ ساعت بعد اکانت فیسبوک خلیل توقیف می شه و بعد از ۱ ساعت به اون برگردونده می شه. اما خلیل بعد از به دست آوردن اکانت به دروغ مدعی می شه که اکانتش از طریق BruteForce (حدس زدن پسورد) و طی اقدامی دو هفته ای هک شده.

استاتوس خلیل بعد از به دست آوردن اکانت

بعد از این استاتوس، محمد ایمیلی به خلیل می زنه که می گه دروغ گفتی ومن پسورد رو حدس نزدم و فرانسوی هم نیستم و مراکشی ام. والبته باز هم مودبانه برخورد کرده و گفته ما به تو افتخار می کنیم:

ایمیل محمد به خلیل

و در انتها هم یه سری تصاویر از وبلاگ محمد که نشون می ده به ایمیل، فیسبوک و توییتر خلیل دسترسی داشته:

ایمیل هک شده خلیل

توییتر هک شده خلیل

فیسبوک هک شده خلیل

بعد از یکی دو تا پست گذشته در مورد ارتش الکترونیک سوریه و هک های موفقی که انجام داده و با توجه به اینکه می دونستم روش اصلیشون فیشینگه، کمی در مورد کارهای موفقشون جستجو کردم.

فیشینگ چیست؟
این روش در واقع فریفتن کاربره (با سایت های جعلی و نظیر آن) برای به دست آورد اطلاعات حیاتی مثل پسورد. در ویکیپدیا فارسی می تونید توضیحات بیشتری رو ببینید که من از تکرارشون اجتناب می کنم.

هک شدن واشنگتن پست
بریم سراغ مطلب اصلی. حمله به واشینگتن پست از یه آخر هفته شروع شد. یک صفحه جعلی به شکل لاگین وبمیل سایت اصلی برای برخی از اعضای گروه خبر ایمیل شده بوده احتمالا. اطلاعات دقیقتری پیدا نکردم که چطور فریب دادن نفرات رو برای رفتن به صفحه جعلی ولی معمولا این کار با یک ایمیل جعلی انجام می شه. ارسال ایمیل جعلی با وجود همه روش های جلوگیری از دریافت این ایمیل ها (مثل اسپم فیلترینگ سرویس جیمیل) هنوز امکان پذیره.

صفحه جعلی لاگین به وبمیل

ابتدا یکی از نویسندگان گروه ورزش فریب می خوره و پسوردش رو وارد می کنه. اگر با دقت عکس بالا رو نگاه کنید می بینید که آدرس سایت با آدرس سایت واشنگتن پست متفاوته ولی به خاطر طولانی بودن آدرس و دقت نکردن کاربر، هکر به هدفش رسیده. حالا دیگه کار هکر راحت تره. با استفاده از یه ایمیل شناخته شده (فرض کنید دوستتون) به بقیه قربانی ها ایمیل می زنه. همونطور که در اییل زیر می بینید، گفته شده که از طرف ایمیل هک شده برای سایرین ایمیل های فریب دهنده ارسال می شه

ایمیل داخلی واشنگتن پست

همونطور که از متن برمیاد روی کامپیوتر قربانی هم یک کیلاگر قرار گرفته به احتمال زیاد چون با وجود تغییر پسورد بازهم هکرها به ایمیل دسترسی دارند.

همونطور که در تصویر اول می بینید صفحه جعلی در دامنه site88.net آپلود شده. بیایم یه نگاه دقیقتر به این دامنه بدازیم.
اطلاعات ثبت کننده سایت که مخفی شده:

اطلاعات ثبت کننده و ادمین

عکسهای صفحه اول این دامنه در سال های ۲۰۰۸، ۲۰۱۲ و ۲۰۱۳ نشون می ده که در تمام این سالها دامنه روی سرورهای رایگان ۰۰۰webhost.com استفاده شده.

هک شدن اونیون
این سایت هم توسط گروه SEA هک شد. نقطه شروع از ایمیل جعلی بود که مثلا از طرف یکی از اعضای سازمان ملل برای اعضای این سایت ارسال شد که حاوی لینکی بود به خبری از واشنگتن پست در مورد این اونیون

ایمیل جعلی

این لینک در واقع قربانی رو منتقل می کرد به لینک دومی که این بود:
http://hackedwordpresssite.com/theonion.php
و سپس منتقل می شد به لینک دیگری که این بود:
http://googlecom.comeze.com/a/theonion.com/Service.Login?&passive=1209600&cpbps=1&continue=https://mail.google.com/mail/
لینک سوم که دیگه از کار افتاده و صفحه ای بوده که روی سرورهای رایگان ۰۰۰webhost.com بارگذاری شده بود. این صفحه از قربانی اطلاعات حساب گوگل رو می پرسید و سپس به صفحه گوگل منتقل می شد.

این ایمیل به تعداد محدودی از کاربران فرستاده شده بود که حساسیت ایجاد نکنه. یکی از کاربران فریب می خوره و اطلاعات رو وارد می کنه. حالا هکر با استفاده از اکانت به دست آورده، دوباره ایمیل رو به اعضای سایت می فرسته. اکثر کاربرها لینک رو باز می کنند ولی فقط دو نفر از اونها فریب می خورند و پسوردشون در اختیار هکر قرار می گیره. یکی از اونها به اکانت های شبکه های اجتماعی سایت دسترسی داشته. اینجوری می شه که اکانت های سایت هک می شه.
حالا زمانی می رسه که پشتیبان های امنیت سایت متوجه می شن و ایمیلی به همه اعضا می فرستند که سایت هک شده و پسوردشون رو تغییر بدن. هکرها دوباره از این موقعیت استفاده می کنند و ایمیل مشابهی به کاربران (منهای اعضای آی‌تی) می فرستند و لینک صفحه فیشینگ دیگه ای رو به اسم لینک تغییر پسورد می فرستند. این حمله جدید منجر به فریب دو عضو دیگه می شه که یکی از اونها دسترسی به اکانت توییتر سایت داشته و بنابرای اکانت توییتر هم در اختیار هکرها قرار می گیره.
در این مرحله آِ‌تی به این نتیجه می رسه که تشخیص امن و هک شده بودن اکانت ها غیر ممکنه. بنابراین پسورد همه اکانت ها رو شخصا تغییر می ده.

همونطور که قبلا هم گفتم اون ضرب المثل معروف رو، امنیت یک مجموعه به اندازه امنیت ضعیف ترین بخش اون مجموعه است. اینجاست که باز هم می رسیم به نگرش غلط مدیران آی‌تی ایرانی مبنی بر بیشتر کردن محدودیت کاربرها برای داشتن امنیت بیشتر. برای جلوگیری از حملاتی مثل فیشینگ، قدم اول آموزشه، قدم دوم تقویت سیستمهای فیلتر کردن ایمیل های فیشینگ و قدم سوم طراحی سیستم های دسترسی و توزیع ایمیل ها و اکانت ها بر پایه یک ساختار امن.

منبع و منبع

هفته گذشته رو می شه اختصاص داد به ارتش الکترونیک سوریه SEA. هم تونستن توییتر و نیویورک تایمز رو هک کنند (تغییر DNS) و هم خودشون هک شدن (البته تکذیب می کنند).
اطلاعات مختلفی از حداقل دو منبع در مورد این گروه به بیرون درز کرده. که بعد در سایت های مختلف بخشی از آنها تکرار شده. آنچه که در مورد این گروه گفته می شه و شایعاتی که بوده با فاش شدن عکس های سرور هک شده سایتشون و تاریخچه دستورات اجرا شده و نیز لیست اسامی و ایمیل ها و آدرس لینکدین اونها، تقویت شده. اینکه نفر اصلی این گروه شخصی به اسم حاتم دیب، یک سوری الاصل ساکن سنت پترزبورگ روسیه است. همچنین مدیر سایت این گروه فردی به اسم Ali Farha است که همسن حاتم و هم‌دانشگاهی اون در سوریه است. روزنامه دولتی سوریه در مقاله ای که در سال ۲۰۱۱ چاپ کرد، اطلاعاتی در مورد این گروه و حاتم دیب را منتشر کرده است.

ایمیل ادمین سایت که منسوب به حاتم دیب است

هفته گذشته ابتدا یک تصویر که نشان دهنده بخشی از اطلاعات کاربران سایت این گروه بود منتشر شد.

لیست کاربران سایت متعلق به SEA

پس از مصاحبه یکی از اعضای این گروه با سایت mashable و تکذیب هک شدن سایتشون و یا نگهداری اطلاعات حساس روی سرورها و نیز تکذیب رابطه کاری با حاتم، بخش بزرگی از اطلاعات مرتبط با این گروه در سایتی منتشر شد. این سایت فقط از طریق شبکه tor قابل دسترسیه اما یک سایت فرانسی گزارشی از اطلاعات منتشر شده را کار کرده است (توجه: این سایت حاوی عکس هاییه که ممکنه نخواهید ببینید)

لیست فولدرهای سرور

و البته کاربرها:

اکانت های توییتر و لینکدین اعضای گروه

جالبه که یه سری از عکس های شخصی اعضای گروه در اکانت دراپ باکسشون هم لو رفته که بعضی هاش عکس های خیلی شخصیه 🙂

همچنین تاریخچه دستورات اجرا شده روی سرور نشون می ده که ادمین از مسنجر imo استفاده می کنه

تاریخچه دستورات

و البته یک نکته جالب دیگه. دایرکتوری ادمین سایت محدودیت IP داره و با چک کردن لیست IP های مجاز به عکس زیر می رسیم:

لیست IP های مجاز

این لیست شامل تعدادی از ناشناس کننده های سرویس tor و تعدادی سایت در اردن است. مهمترین نکته قرار گرفتن IP وزارت آموزش عالی اردن و وابسته فرهنگی عربستان در اردن در این لیسته.

البته بعد از انتشار این اسناد اکانت توییتر منتسب به گروه “ارتش الکترونیک سوریه” اعلام کرد عکس ها تقلبی بوده و یا مربوط به هک اتفاقی بعضی آدم های طرفدار حکومت سوریه است.

اطلاعات این پست برگرفته از اینجا، اینجا و اینجاست.