18:18
16/1/2011

W Tunezji trwa rewolucja. Nie tylko na ulicach — także w internecie. Tunezyjscy internauci odkryli, że wchodząc na Facebooka i GMaila, przy formularzach do logowania znajduje się “tajemniczy” skrypt.

Hasła do Facebooka i GMaila

Złośliwe skrypty, których kod publikujemy poniżej mają za zadanie przechwycić hasła i loginy użytkowników.

Przechwytywane dane są szyfrowane i wysyłane za pomocą GET-a pod nieistniejący adres, np. http://google.com/wo0dh3ad/. Ponieważ ruch internetowy w Tunezji jest w całości kontrolowany, podejrzewa się, że rząd na jednym z urządzeń filtrujących ustawił regułkę do wychwytywania tych URL-i i w ten sposób odczytuje przechwycone dane.

O atak oskarża się kontrolowaną przez tunezyjskie Ministerstwo Komunikacji narodową agencją internetową o nazwie ATI. To ona kontroluje wszystkie łącza internetowe w Tunezji, a złośliwy kod ponoć zaczęła wstrzykiwać już pół roku temu…

Dlaczego rząd Tunezji przechwytuje hasła?

Żeby kasować “rewolucjonistyczne” grupy na Facebooku i monitorować korespondencję opozycyjnych dziennikarzy.

Tunisia is hacking Facebook

Tunezja. Ty cieszysz się słońcem, my cieszymy się twoim hasłem do Facebooka

Pamiętajmy, że jeśli ktoś chce przejąc czyjeś konto na Facebooku, to wcale nie musi modyfikować ruchu (jak robią to Tunezyjczycy). Wystarczy że go podsłucha i zdobędzie token z ciastka użytkownika, por. dodatek do Firefoksa — FireSheep. Mając czyjeś ciastko można wiele: podglądanie wiadomości/chatu, wysyłanie treści na profil, etc., ale nie wszystko — brak możliwości odcięcia użytkownika od konta poprzez zmianę hasła, brak możliwości poznania hasła i jego wykorzystania przy próbach dostępu do innych kont internauty.

Jak na naszym Facebooku celnie zauważa Krzysiek, “dzięki html5 offline apps Tunezja może podsłuchać Twoje hasło nawet 2 lata po powrocie z urlopu w ichniejszych kurortach (oczywiście wziąłeś ze sobą laptopa, prawda?). To nie teoria – narzędzia do wykonania takiego ataku już są gotowe, czekają tylko na odpalenie…“.

Jak walczą tunezyjscy internauci?

Powstało już specjalne rozszerzenie do przeglądarek internetowych, którego zadaniem jest czyścić strony z podrzuconego przez tunezyjski rząd kodu. Alternatywą są również połączenia przez proxy, chociaż niektórzy internauci z Tunezji twierdzą, że rząd nie pozwala na połączenia via HTTPS.

Nadmieńmy na marginesie, że Anonimowi, na których zawsze można “liczyć” w tego typu jatkach, zDDoS-owali strony ATI:

Wojna przenosi się do sieci

Działania Tunezji, to kolejny przykład na to, że w dzisiejszych czasach równie ważne jak działania zbrojne na ulicach, są starcia w internecie — i to nie tylko tak prostackie jak content filtering — aby poznać kunszt niektórych “cyberoberacji”, przeczytajcie artykuł z NYT o rzekomych testach Stuxnetu w specjalnie do tego celu stworzonej amerykańsko-izraelskiej kopii irańskiej elektrownii…

Przeczytaj także:


32 komentarzy

Dodaj komentarz
  1. Ciekawe tylko kiedy w Polsce takie coś się pojawi…

  2. Pewnie nie tylko Tunezja robi takie rzeczy, tylko inni w bardziej inteligentny sposób nei przez sktypty.

  3. Biorac pod uwage,ze zalozenie nowego konta na Facebooku trwa chwile to nie sadze abe wiele zwojowal tym rzad.Czy problem dotyczy tylka Firefoxa bo nie wiem czy dobrze zrozumialem?:]

  4. @Lukasz Piech – źle zrozumiałeś (nie bardzo wiem nawet dlaczego…). Skrypt wykradający hasła do FB i Gmaila jest ‘doklejany’ do tych stron – a tutaj raczej nie ma znaczenia z jakiej przeglądarki korzystasz.
    Swoją drogą to taki NoScript chyba sobie poradzi z takim ‘nieproszonym’ skryptem, co ?

    Chyba czas zakręcić się za VPN…

    • Torwald: w takim noscript ten skrypt będzie widzialny jako skrypt z domeny whateversiteimatrightnow.com, a to raczej ludzie whitelistują, bo inaczej superfajne efekty na whateversiteimatrightnow.com nie działają ;)

  5. Mam u siebie w domu łącze ADSL z postawionym VPN. Jak jestem gdzieś poza domem a zwłaszcza za granicą, chwytam się jakiegoś pierwszego lepszego łącza (przeważnie WiFi), zestawiam tunel VPN i w ten sposób cały swój ruch tranzytuję po IPSec poprzez łącze domowe. Co w takiej sytuacji mógłyby mi zrobić władze Tunezji, gdybym to akurat tam się znajdował? Inna wersja: gdyby ktoś przywiózł sobie do Tunezji mobilne łącze satelitarne, np. Thuraya DSL, czy takiego też mogą monitorować? Akurat łącza satelitarne leżą poza moim zasięgiem (budżetowym) ale tak z ciekawości pytam.

  6. Przecież dyktator już zbiegł z kraju, nie jestem w temacie, czyżby rząd który po nim pozostał również miał zapędy na cenzurowanie? Mi się obiło o uszy że właśnie wprowadzają tam nowe rządy. Pozostałości po dyktatorze?

    • Watcher: jak to mówią, to niesamowite, że Tunezyjczycy zrobili “zamach stanu” bez naszej pomocy w postaci podpisania e-petycji lub podmiany avatarów na Twitterze na takie z napisem SAVE TUNIS!!!111 :>

  7. VPN to dobry pomysł, do teraz zawsze po prostu tunelowałem cały ważny ruch przez ssh, ale to się właściwie ograniczało do Firefoxa. Ciężko VPN ustawić za pomocą otwartych narzędzi?

    • KrzaQ: zainteresują się OpenVPN — ale tunelowanie ssh powinno wystarczyć — masz jakąś aplikację, w której nie da się socks proxy ustawić?

  8. Czyli wchodząc na oficjalną stronę Gmaila ten skrypt będę widział, jako pochodzący od Google ? Lipa trochę…
    Muszę chyba się w końcu zebrać i wgrać nowy firmware do routera, już z obsługą VPN…

  9. @KrzaQ: Ja mam VPN-a sprzętowego na Juniper NS5GT (ScreenOS) i to właśnie na nim zakańczam swój ruch IPSec kierowany z miejsca pobytu. Łącze jest w trybie tunelowym, protokół ESP, negocjacja AutoKey IKE, szyfrowanie AES 256-bit. Natomiast łącza, z których “gościnnie” :-) korzystałem praktycznie same nigdy nie zapewniały bezpieczeństwa (open lub WEP), stąd była konieczność użycia dodatkowych środków.

  10. Anonimowym pogratulowac :)

    Z niepozwalaniem na HTTPS to chyba przesada – jak tam niby maja dzialac banki, czy cokolwiek ? Nic tylko siasc z laptopem i zmieniac adresy przelewow :) Zreszta, nawet jak sobie wytna wszystkie porty oprocz 80, to mozna zestawic VPN po porcie 80…

    @Sobota: inaczej niz przez JS, bez ingerencji w system (wirusy etc.), to danych po HTTPS nie da sie przechwycic – ewentualnie MITM, ale to latwe do wykrycia.

    @Marcin Maziarz – pod wzgledem technicznym nic by ci nie mogli zrobic (poza MITM – no ale w przypadku domowego VPNa to nierealne). a pod wzgledem prawnym – trzeba by poczytac. oczywiscie moga wykryc probe uzycia VPNa, czy telefonu satelitarnego, i wtedy podjac jakies kroki prawne.
    Oczywiscie sa kraje, w ktorych uzywanie kryptografii jest zabronione prawnie, albo mocno ograniczone (np. w Rosji i Chinach szyfrowanie bodajze powyzej 128bitow – zgdanijmy dlaczego :P we Francji rowniez, na prywatny uzytek – ale te dane mam sprzed kilku lat, to sie juz raczej zmienilo ). W USA sa restrykcje przy eksportowaniu rozwiazan kryptograficznych.

    @Art: w Polsce od roku ISP oraz operatorzy telefonii maja obowiazek logowac ruch (HTTP, w przypadku komorek rowniez dane z polaczen do BTSow) czyli wiaze sie to rowniez z zapisem zadania GET – inna sprawa czy to robia albo czy to jest technicznie wykonalne (jesli ktos chcialby oszacowac ruch HTTP w Polsce – prosze bardzo). Miejmy nadzieje, ze chociaz nie modyfikuja tresci.

    Na AGH byl kiedys wyklad Hindusa z Opery – mowil ogolnie o Unite, ale miedzy innymi zachwalal mozliwosci nowego ficzera – trybu Turbo (swoistego rodzaju MITM, Opera na swoich serwerach polyka docelowa strone i wypluwa skompresowane dane) – jak zapytalem czy nie loguja danych albo czy nie przekazuja ich policji/sluzbom, stwierdzil ze niby nie loguja, ale gdyby im ktos z “tajnych sluzb” kazal monitorowac, to by musieli to zrobic.

  11. @gadulix: Na zasadzie “połykania docelowej strony” i “wypluwania skompresowanych danych” działa właśnie cała Opera Mini. Serwer Opery działa tutaj podobnie jak proxy więc na pewno mają pełną możliwość techniczną rejestrowania całego ruchu, łącznie z hasłami do kont. Tylko zostaje pytanie, czy z tej możliwości korzystają i czy uzyskane dane przekazują specsłużbom?

  12. Niebezpiecznik:
    “Działania Tunezji, to kolejny przykład na to, że w dzisiejszych czasach równie ważne jak działania zbrojne na ulicach, są starcia w internecie”

    W dzisiejszych czasach zarówno starcia na ulicach jak i “bitwy” w Internecie nie mają żadnego istotnego znaczenia, jak dowiódł irański reżim. Kopanie się z policjantami czy walka na proxy i vpny z operatorem telekomunikacyjnym pokazują tylko słabość protestujących. I nie ma znaczenia czy te prostesty są w Iranie, Tunezji czy na demokratycznym zachodzie w związku z kolejnym szczytem G8.

    Torwald:
    “Czyli wchodząc na oficjalną stronę Gmaila ten skrypt będę widział, jako pochodzący od Google ?”

    Gmail.com działa po https, operator nie może wtedy nic po drodze “wstrzyknąć” ani podsłuchać Twojej komunikacji z Google. Chyba że Tunezja kontroluje któreś CA?

  13. Z tym mailem, to takie trochę naiwne – wystarczy używać programu pocztowego i ta sztuczka już nie zadziała.

  14. Tylko ile osób nie używa żadnego programu pocztowego?
    W erze Gmaila to już powszechna sprawa.

  15. czyli mamy rozumiec ze wszystko co pisze i dosatje na gmaila oni mogąsobie czytac

  16. I zawsze możemy przecież użyć DNS Tunneling – polecam temat bo ciekawy, a żaden fortigate na końcówce nam nie groźny ;]

  17. Cenzura i phishing przez MiTM? Gruubo.

  18. O ile zrozumiałem źródła – to nie było żadnego MITM – reżmiowy ISP od kilku miesiecy blokował https dla domen googla, facebooka (w tym akurat domyslnie jest bez https) i yahoo (nie wiem czy inne też) – userzy z własnej głupoty (niewiedzy?) przeszli na HTTP i umożliwili wstrzykniecie JSu.
    Zresztą – pomimo tego, że przeprowadzenie MITM przez ISP jest trywialne, to jest mimo to łatwe do wykrycia (przez wbudowane w przeglądarki mechniazmy uwierzytelniania SSL).

    Chociaz myślę, że do przeszukania kodu googla zmotywowal genialny acz mało popularny o mail providerów ficzer – chodzi mi o pokazywanie zalogowanych sesji i ich IP/źródło (również POP/IMAP), ostrzeganie przed fraudem i możliwość wylogowania innych sesji.
    I

  19. @Paweł Mazurek – Właśnie po to mam gmaila, żeby nie musieć używać Thunderbirda ;)
    Odkopałem sobie przy okazji na dysku Tor Browsera (z FF Portable) i z niego korzystam na każdym niepewnym kompie.

    • Tak jakby Tunezja nie mogla wystawic torowego end nodea ;)

  20. Exit-node który w obrębie sieci TOR modyfikuje przesyłane informacje, bądź też korzysta z filtrowania innego, niż 6 domyślnych policy zawartych w konfiguracji dostaje bardzo szybko flagę bad-node i nie może w przyszłości zostać użyty jako brama wyjściowa, bądź bridge. Jedynie jako węzeł pośredniczący.

  21. @gaduliux: No właśnie, ale jak niby wstrzyknęli JS do gmaila googlowi? No chyba tylko przez modyfikacje DNSów coby wskazywały na evil server. O ile wiem google raczej nie ma znanych luk w gmailu, zwłaszcza przy logowaniu. Logowanie generalnie jest dość istotną kwestią i również FB na to zwraca uwagę. A podmienionych rządowych DNSów to nie łatwo tak wykryć. Mylę się?

    • Chaos: Jeśli twój ruch przechodzi przez mój serwer, to mogę zmodyfikować pakiety tak jak mi się to podoba. Np. na gazeta.pl podmieniać litery a na x. Żadne DNS-y nie są potrzebne.

  22. @Piotr konieczny: Ok, jasne ale jak rząd Tunezji spowodował że ruch do gmaila czy FB szedł przez ich serwery? Nie rozumiem jak wstrzyknęli taki kawałek kodu do kodu logowania.

    • Chaos: pomysl o państwie Tunezja jako o firmie Tunezja. Każda firma ma swój serwer brzegowy, przez który routuje ruch do/z internetu. Tunezja też. Praca domowa: spróbuj odpowiedzieć na te 2 pytania: ile punktów wymiany ruchu posiada Polska — nazwij je? Ile łączy internetowych łączy Polskę ze światem?

  23. Rząd tunezji posiada także dodatkową farmę serwerów, żeby przeprowadzać DPI na każdym ruchu i oczywiście MITM każdego szyfrowanego połączenia.

    Ehe.

  24. Piot Konieczny: Odpowiadam -> http://pl.wikipedia.org/wiki/Internet_Exchange_Point#Punkty_wymiany_ruchu_internetowego_w_Polsce.
    Ok, jak zwał tak zwał, ważne że przechwycili nieszyfrowaną transmisję od użytkownika.

  25. gadulix @ Oczywiscie sa kraje, w ktorych uzywanie kryptografii jest zabronione prawnie, albo mocno ograniczone (np. w Rosji i Chinach szyfrowanie bodajze powyzej 128bitow – zgdanijmy dlaczego :P

    Można prosić o jakieś źródełko na temat tego zakazu w Rosji? Według FAQ-u ruskiego portalu “openPGP в России” używanie PGP jest w pełni legalne i nie wspominają o żadnych tego typu ograniczeniach.

  26. […] zaawansowanemu, 2-składnikowemu uwierzytelnieniu, nawet jeśli ktoś wykradnie nasze hasło do GMaila — nic mu to nie da …dopóki nie zabierze nam także telefonu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: