Jak wiadomo masa zwykłych użytkowników popularnych serwisów takich jak na przykład system pocztowy Yahoo wykorzystuje zazwyczaj proste hasła do ochrony swoich kont. Fakt ten jest aktywnie wykorzystywany przez wszelkiej maści atakujących. Część z nich trudni się wysyłaniem niechcianych wiadomości określanych mianem SPAMu. Po odgadnięcia hasła do danego konta użytkownika (zazwyczaj metodą wykorzystującą najpopularniejsze wyrazy) z przejętego konta jest wysyłany SPAM. Znaczna liczba systemów antyspamowych ocenia wiadomości przychodzące z serwerów usługi Yahoo jako wiarygodne więc dostęp do takich kont to nie lada gratka dla spamerów.
Ekipa z projektu WASC Distributed Open Proxy Honeypot zauważyła ostatnio interesujące zjawisko. Mianowicie zalogowali do swoich systemów pułapek duża liczbę specyficznych zapytań o określonym wzorcu. Po analizie okazało się, iż jest to mechanizm odgadujący masowo hasła do kont pocztowych serwisu Yahoo. Z uwagi na liczbę zapytań, adresy źródłowe itp. wszystko wskazuje na działanie sieci przejętych komputerów botnet.
Jeśli chodzi o szczegóły to sprawa jest o tyle ciekawa, że w podstawowej wersji, jeśli korzystamy z podstawowego formularza logowania Yahoo, po kilku niepoprawnych próbach zalogowania się do serwisu, otrzymamy do rozwiązania test CAPTCHA, w którym musimy udowodnić, że jesteśmy człowiekiem a nie robotem. W takim przypadku (przy założeniu, że nie mamy systemu potrafiącego rozpoznawać lub omijać system CAPTCHA) proste sprawdzanie haseł dość szybko zakończyłoby się powodzeniem. Jednak atakujący odkryli bardzo interesujący błąd, który wykorzystali do skanowania. Okazuje się, że istnieją strony (prawdopodobnie dla usług łączonych, poddostawców usługi Yahoo mail itd.), które umożliwiają sprawdzenie czy dany login/hasło są poprawne. Strony te nie posiadają opisywanych wcześniej ograniczeń. Można do woli i bez ograniczeń używać tych podstron do testowania. Proste zapytanie do wyszukiwarki Google zwraca ponad 500 takich podstron. Użycie jest bardzo proste:
http://strona/config/isp_verify_user?l=testowanylogin&p=testowanehaslo
a komunikat zwrotny jeszcze prostszy:
ERROR:102:Invalid Login
ERROR:101:Invalid Password
OK:0:username
Co ciekawe można w ten sposób sprawdzać także obecność danego konta w systemie. Cały system wykorzystuje do skanowania 3 metody:
- używa otwartych serwerów Proxy dla ukrycia swojego adresu IP źródłowego,
- łączy się do różnych podserwisów Yahoo aby utrudnić wykrycie,
- każda następująca po sobie próba zawiera inny login i hasło (a nie na przykład ten sam login i różne hasła lub różne loginy i to samo hasło) co jeszcze bardziej utrudnia wykrycie metod skanowania.
Sprawdziłem na pierwszym z brzegu znalezionym z użyciem Google serwisie i faktycznie wszystko działa jak należy. Sprawdziłem 25 haseł do jednego loginu w ciągu kilku sekund. A już całkiem interesujące jest to, że przed chwilą w wynikach Googla znalazłem poprawny login i hasło do konta użytkownika. Posłałem maila z prośbą o zmianę hasła, ciekawe czy zareaguje :]
4 komentarze do
2 grudnia, 2009 o godzinie 01:17
Borys, popraw linki w tym poście.
2 grudnia, 2009 o godzinie 12:28
Borys, artykuł fajny ale – podlinkowałaś niektóre słowa prowadząc do nikąd. Działanie zamierzone czy wypadek przy pracy?
2 grudnia, 2009 o godzinie 15:30
Fixed, dzięki. Testuje nowy system i zupełnie po innemu działa tamże kopiowanie co jak widać objawia się prezentami :] Więcej spać, mniej klikać :]
25 czerwca, 2010 o godzinie 16:28
a jaki jest program na łamanie haseł na stardoll.com?????