Jak Facebook chroni swoich użytkowników przed ich własną głupotą (i atakami “self xss”)

Użytkownicy Facebooka to często prości, naiwni ludzie, którzy przychodzą oglądać kotki i bardzo chcą wiedzieć kto podgląda ich profil — z tego korzystają wszelkiej maści scamerzy, którzy publikują instrukcje, polegające na uruchomieniu przez ofiarę kodu JavaScript w obrębie swojej sesji na Facebooku. Brzmi enigmatycznie, ofiara myśli, że pozyskała tajemny sposób, ale wykonując nie do końca przez siebie zrozumiałe czynności de facto wysyła swoje ciasteczka lub inne dane atakującemu. Czytaj dalej »

Instagram nie szyfruje ruchu

Aplikacja mobilna instagrama nie korzysta z połaczeń HTTPS, a zatem otwartym tekstem przesyła m.in. ciasteczko sesyjne, co umożliwia wykonanie ataku MITM i przejęcie czyjegoś konta. Facebook odpowiedział osobie, która zgłosiła ten błąd, że akceptują ryzyko i mają w planach migrację na HTTPS.

4

Znalazca błędu nie dowierza, że Facebook może ignorować takie zagrożenie, ale z drugiej strony, możnaby dowcipnie zapytać, czy zdjęcia jedzenia trzeba chronić tak samo mocno jak dane osobowe? :-)

Dodatkowo – już jest gotowe narzędzie “Instasheep“, które upraszcza i przyśpiesza ww. ataki. Nazwa to alegoria do Firesheep — dodatku do przeglądarki Firefoks, dzięki której kilka lat temu udało się zmusić m.in. także Facebooka do włączenia HTTPS dla serwisu internetowego.

PS. Z racji dużego zaintersowania tym postem, przenieśliśmy go z sidebaru a główną. Przypoinam, że w naszym linkbogu często pojawiają się ciekawostki “mniejszego kalibru” i warto go regularnie śledzić — linkblog ma osobny kanał RSS.

Hamas włamuje się na smartphony Żydów, a Żydzi bombardują Palestynę śmiechem — czyli wojna informacyjna w strefie Gazy

Równolegle z konfliktem na Ukrainie, którego internetowe echa już realacjonowaliśmy (dość dokładnie przewidując, co może się stać), w strefie Gazy trwają walki pomiędzy Palestyńczykami i Żydami/Izraelitami. Poza standardowym wysadzaniem się nawzajem w powietrze, prowadzona jest także walka informacyjna i elektroniczna. Poniżej przykłady. Czytaj dalej »

* Papież Franciszek zhackowany na FB

Jeśli ktoś zna arabski (?) może będzie w stanie wyjaśnić o co poszło i w jaki sposób atakujący przejęli dostęp do konta papieża Franciszka.

Papież Franciszek hacked

Papież Franciszek hacked fot. Łukasz

Papież Franciszek hacked

Papież Franciszek hacked, fot. Łukasz

W każdym razie, gwardziści watykańscy chyba już opanowali sytuacje ;)

UPDATE: Jeden z czytelników zauważa, że papież ma tylko oficjalne konto na …Twitterze, nie Facebooku.

Polski rząd pomagał NSA, a NSA podsłuchiwała 3 miliony Polaków (dziennie!) — ujawniono nowe dokumenty Snowdena

Glenn Greenwald to obecnie prześladowany przez amerykańskie i brytyjskie służby dziennikarz, który jako jeden z niewielu uzyskał przywilej dostępu do danych wyniesionych przez Snowdena z NSA (chociaż niewiele brakowałoby, a historia ta przeszłaby mu koło nosa, ponieważ nie potrafił obsługiwać GPG). Właśnie wydał książkę pt. No Place to Hide, w której opisuje niepublikowane dotąd informacje wykradzione z NSA. Oprócz książki Greenwald udostępnił też bardzo interesujący PDF, zawierający surowe materiały przekazane mu przez Snowdena.

Polska współpracowała z NSA…

Nas, Polaków, najbardziej zainteresuje strona 106:

Depesza potwierdzająca współpracę NSA z Polską

Depesza potwierdzająca współpracę NSA z Polską

Z powyższego wywnioskować można, że z terenu Polski (od zewnętrznego partnera), już w 2009 roku NSA pozyskiwała najpierw metadane, a następnie pełne treści połączeń internetowych i — co ciekawe — wszystko to działo się we współpracy z “oddziałem polskiego rządu”.

Pytanie o jakie ministerstwo lub służbę chodzi? I co, jako kraj, otrzymaliśmy w zamian za tę pomoc? (przypomnijmy, że za zorganizowanie tajnych więzień dla CIA, w których odbywały się waterboardingi osób podejrzanych o terroryzm przez USA otrzymaliśmy 15 milionów w gotówce)

Wspólny projekt NSA i m.in. polskiego rządu otrzymał kryptonim ORANGECRUSH a depesza wspomina, że w Polsce funkcjonował również pod kryptonimem BUFFALOGREEN. Pozyskiwanie danych miało dotyczyć Afgańskiej Armii Narodowej, Bliskiego Wschodu i niektórych krajów afrykańskich. Może któryś z czytelników będzie wiedział, która to z działających w Polsce firm obsługuje ruch tego typu lub ma do niego dostęp?

Do tej pory informacje o współpracy NSA z Polską były dość okrojone, wiadomo było, że znajduje się ona poza czołówką krajów, z którymi NSA ma najściślejszą współpracę. Poniżej zestawienie krajów wedle ich “kluczowości” jeśli chodzi o związek z NSA.

Polska znajduje się w 3 grupie współpracy z NSA

Polska znajduje się w 3 grupie współpracy z NSA

3 poziom partnerstwa Polski

3 poziom partnerstwa Polski

Kiedy my podsłuchiwaliśmy Bliski Wschód dla NSA, NSA podsłuchiwała Polaków

Dobrym uzupełnieniem powyższej informacji będzie jeszcze jeden wykres z książki Greenwalda, który również dotyczy Polski.

Podsłuchy NSA w Polsce - Jak dużo rozmów przechwytuje NSA z terenu Polski? Więcej niż milion w niektóre dni...

Podsłuchy NSA w Polsce – Jak dużo rozmów przechwytuje NSA z terenu Polski? Więcej niż milion w niektóre dni…

Z powyższego wynika, że NSA z terenu naszego kraju była w stanie przechwytywać ponad 3 miliony rozmów telefonicznych dziennie!. Pytanie, czy to również działo się za zgodą i przyzwoleniem polskiego rządu/służb? Być może właśnie w zamian za pomoc w podsłuchiwaniu łącz internetowych routujących dane z Bliskiego Wschodu nasze służby pozyskały od NSA dostęp do narzędzi/technologii analizujących rozmowy telefoniczne?

Pozostałe rewelacje: ataki na Cisco i Facebooka

Jest ich wiele — zachęcamy do lektury książki Glenna. Jedną z nich jest to, jak agenci brytyjskiej służby GCHQ pozyskują informacje na temat osób posiadających konta na Facebooku, ale mających “zamknięte dla świata” profile. Przydaje się im w tym fakt korzystania przez Facebooka z CDN-ów Akamai i schemat kodowania ID profilu w linku do pliku trzymanego na CDN-ie.

facebook-fail

facebook-fail2

fb-fail3

Na koniec wspomnimy tylko o czymś, o czym już pisaliśmy w grudniu 2013 roku — NSA przechwytuje paczki z elektroniką kupowaną/produkowaną w USA i w specjalnych laboratoriach modyfikuje ich firmware dodając złośliwy kod i tylne furtki (tzw. backdoory) …a następnie sprzęt z powrotem pakowany jest w oryginalne opakowanie i wysyłany do odbiorcy…

W książce Greenwalda pojawia się zdjęcie takiego laboratorium modifikującego routery Cisco:

Laboratorium dodawania implantów do sprzętu CISCO

Laboratorium dodawania implantów do sprzętu CISCO

Lepiej przyjrzyjcie się swoim Linksysom… i porównajcie MD5 z firmwarem na stronach producenta. A nastepnie schematy elektroniczne sprzętu, bowiem implanty NSA to nie tylko zmodyfikowany firmware, ale również dodatkowe “wlutowywane” komponenty sprzętowe… ;)

P.S. Na koniec warto zadać sobie pytanie co dzieje się z samym Snowdenem? Chyba nie wszystko u niego w porządku, skoro bierze udział w takich propagandowych przedstawieniach, jak to z Putinem

Podsumowanie naszego primaaprilisowego żartu

Jak zapewne większość z Was się domyśliła, nasz wczorajszy artykuł mówiący o ustaleniu tożsamości złodzieja danych z UPC i wyznaczenia za informacje na temat miejsca jego pobytu nagrody przez Policję był …primaaprilisowym żartem — niestety prawda jest taka, że tożsamość sprawcy dalej nie jest znana. Poniżej prezentujemy podsumowanie naszego żartu; czyli e-maile oraz telefony, jakie do nas spłynęły od “wkręconych” osób. Czytaj dalej »

Facebook na Androida …czyta twoje wiadomości SMS

To, że Facebook automatycznie analizuje wiadomości, które wysyłamy za pomocą wbudowanego w niego modułu chatu już wiemy od dawna — Facebook tłumaczy to ochroną przed pedofilią. Jednak najnowsza aktualizacja aplikacji Facebooka na Androida prosi także o uprawnienia pozwalające na zapoznanie się z treścią otrzymywanych przez użytkownika SMS-ów i MMS-ów. Po co? Można się tylko domyślać… Czytaj dalej »

PO nie kupiła sobie fanów na Facebooku…

Wczoraj na Wykopie pojawiła się informacja o nagłym wzroście fanów na facebookowej stronie Platformy Obywatelskiej. Wykopowicz dodający ten wpis zasugerował, że Platforma kupiła fanów, bo zbliżają się wybory. Nasze źródła wskazują, że fani rzeczywiście zostali kupieni, ale — i tu musimy rozczarować niektórych — nie przez PO a przez …jednego z internautów, który chciał się zemścić na administratorach fanpage’a PO za skasowany komentarz. Sprawca pochwalił się tym w wiadomości nadesłanej na naszego fanpage’a. Czytaj dalej »

NameTag — aplikacja do rozpoznawania twarzy i kojarzenia jej z profilami w sieciach społecznościowych

Jeśli chcielibyście sprawdzić, czy ta dziewczyna, która siedzi naprzeciw was w autobusie ma konto na Facebooku, to pomoże wam w tym NameTag. Aplikacja, która jak informuje CNET niebawem pojawi się na Androida, iPhone’a i Google Glass, a której celem jest rozpoznać twarz i wskazać link profili danej osoby w sieciach społecznościowych. Czytaj dalej »

Kolejny scam na Faceboku: “Trzy gimnazjalistki w ciąży po zabawie w słoneczko – nagranie wyciekło do internetu [FILM]“

Nic nowego, po prostu kolejny “szokujący tytuł” mający wymusić kliknięcie prowadzące do zaspamowania naszego profilu poprzez atak typu “like jacking” oraz wyłudzenia numeru telefonu w celu zapisania go do usługi Premium SMS. Ale ponieważ liczba zgłoszeń od czytelników w tej sprawie jest alarmująco wysoka, ostrzegamy! Czytaj dalej »

Lista Facebookowych przekrętów

Poniżej lista fałszywych wiadomości, krążących po Facebooku, których oszukańcze mechanizmy opisaliśmy w szczegółach.

Oto potencjalne zagrożenia, jakie mogły Cię spotkać:

1. Dostajesz płatne SMS-y

Jeśli kliknąłeś na Facebooku na linka o podobnym tytule i podałeś numeru telefonu, to zapewne płacisz teraz za odbieranie spamerskich SMS-ów (koniecznie skontaktuj się ze swoim operatorem i poproś go o pomoc oraz wyłącz usługi SMS Premium). Do zapisu na płatne SMS-y wymagane jest podanie numeru telefonu na stronie spamerów, a następnie PIN-u z SMS-a, który przychodzi po podaniu numeru telefonu. Jeśli nie przepisałeś PIN-u na stronę, płatnych SMS-ów nie dostaniesz (ale ktoś i tak zdobył twój numer telefonu i możesz dostawać po prostu spamerskie SMS-y).

Jeśli podałeś PIN, to możesz także spróbować wypisać się z płatnej subskrybcji SMS-owej sam. Odnajdź pierwszego SMS-a z PIN-em i przeczytaj instrukcje, która tam się znajduje. Zazwyczaj jest tam instrukcja jak wypisać się z usługi, np. czasem wystarczy wysłać SMS-a o treści “BD” pod numer “60235

2. Polubiłeś spamerskie fanpage’y lub zainstalowałeś spamerską aplikację

Przy okazji mogłeś także polubić jakiś spamerski fanpage lub zaintalować spamerską aplikację. Przejrzyj:

  • swoje “Lajki” (wchodząc na swój profil, przechodząc do Activity Logu i filtrując go po “Lajkach” wybranych z menu po lewej)
    Wejdź na profil i kliknij tu

    Wejdź na profil i kliknij tu

    Następnie zaznacz Lajki z menu po lewej i przejrzyj, usuwając wszystkie, których nie rozpoznajesz

    Następnie zaznacz Lajki z menu po lewej i przejrzyj, usuwając wszystkie, których nie rozpoznajesz

  • Przejrzyj też ustawienia na Facebooku pod kątem fałszywych aplikacji (w tym celu kliknij tutaj) a następnie usuń wszystko, czego nie rozpoznajesz.