Не далее как в этот вторник пришлось мне попасть "под раздачу" после которой потратил некторое время на анализ произошедшего. Итак, расскажу небольшую предысторию для общего понимания ситуации. Ведение блога в качестве средства выражения своих мыслей - отличная штука, так как позволяет донести свою точку зрения до аудитории. У разных пользователей, конечно, и аудитория совершенно разная и написание постов происходит по разному - пока не в этом дело.
Дело в техническом исполнении своего общения в сети, на котором многих неискушенных пользователей поджидают разные засады. Наступил на эти грабли и я - причем с совершенно, как мне думается, неожиданной стороны. В прошедший вторник разместил в своем блоге вот этот шутливый пост, на который дал ссылку на своей страничке "вконтакте".
Собственно говоря технология достаточно простая - сначала пишешь какой-то пост, затем размещаешь информацию в социальной сети и получаешь выход на уже сформировавшуюся аудиторию (которая, зачастую, отличается от аудитории ЖЖ). Вот с этого-то момента и начался непонятный для меня момент - после размещения поста в ЖЖ и его дублирования на страничке "вконтакте" мне буквально через несколько минут скинули в аську информацию о том, что с моего аккаунта в контакте идет спам.
Решил, ясно дело, проверить эту информацию и дернулся проверять - страничка "вконтакте" была заблокирована. Восстановив доступ к странице "вконтакте" поначалу не осознал как это произошло и только после анализа информации ситуация стала проясняться.
Дело в том, что мой рабочий браузер - Seamonkey, которым давным-давно пользуюсь и к которому нареканий в принципе-то нет - в том числе и по серьезным дырам в безопасности (обновляюсь сразу после выхода патчей). Использование же IE сведено к минимуму и к нему вопросов тоже нет (в первую очередь из-за его небезопасности).
Так вот, проверив свой компьютер на вирусы обнаружил на нем ажно две штуки
===
C:\Temp\jar_cache4332445297517662453.tmp [0] Archive type: ZIP --> xmltree/opkat.class
[DETECTION] Contains recognition pattern of the EXP/2010-0840.CN exploit [NOTE]
A backup was created as '5587688a.qua' ( QUARANTINE )
[WARNING] The file was ignored!
C:\Temp\jar_cache7421286963830123933.tmp [0] Archive type: ZIP --> ropan.class
[DETECTION]
Contains recognition pattern of the EXP/2011-3544.AK exploit [NOTE]
A backup was created as '07d83262.qua' ( QUARANTINE )
[WARNING] The file was ignored!
====
причем кеш Seamonkey у меня располагается в C:\Temp\Seamonkey, а никак не в Temp. Единственный сайт, который я просматривал из-под IE в тот день - был не много ни мало - livejournal.
В клиенте Semagic есть пункт Web->Last posted entry, который позволяет просмотреть последний пост под "стандартным" для многих пользователей браузером - IE.
После того, как просмотрел свой последний пост, я, как уже говорил, закинул информацию "вконтакте" и получил ситуацию с блокировкой аккаунта. Самое интересное в том, что пароль от моей страницы "вконтакт" был такой - TtdpWtbC1SLh, т.е. не вполне тривиальный.
Сломать такой пароль методом атаки по словарю, конечно, можно, но это требует время - здесь же на все ушло несколько минут (если не секунд). При этом особо стоит отметить, что при использовании атаки по словарю, т.е. перебору вариантов паролей, все же необходимо знать имя пользователя для которого осуществляется подбор для отправки пары "логин-пароль" на сервер авторизации.
Но вот какой номер телефона или почтовый ящик использовался пользователем для входа, к примеру, "вконтакте" узнать заранее нельзя, если не использовать методы перехвата авторизационных данных в момент открытия сессии.
Проще говоря - чем ломать (словами из словаря, к примеру) мы знаем, но еще надо и знать кого именно ломать. На unix машинах уязвимыми (заранее определенны при установке системы) были пользователи root/system/daemon..., в Windows - Administrator/guest/...., с сетевыми же сервисами, где "по умолчанию" не известны имеющиеся в наличии пользователи такой номер уже не проходит, но на помощь приходят обскриптованные сайты :)
Получается, что зацепив заразу после написания и просмотра своего же поста в ЖЖ, тут же "слил" свой пароль от своего аккаунта "вконтакте". Хорошо еще, что у меня для каждого аккаунта используются разные пароли и нет такой ситуации, когда пара пользователь/пароль от, скажем, "вконтакте" подходит для gmail-а.
Но у большинства-то пользователей, логины-пароли совпадают на многих сервисах (обычное дело, кстати говоря) и волна "непонятных взломов" почты и аккаунтов в российском сегменте, как полагаю, прямое тому подтверждение.
При этом, что интересно, все "громкие" взломы происходили у людей, которые достаточно активно пользовались сервисами ведения блогов.
Информацию, конечно, надо еще перепроверять (выводы пока делать рано) и анализировать дальше, но с сетевыми сервисами надо сейчас быть особо осторожными и постоянно обновлять антивирусные базы.
Если есть подозрения на то, что используются не скрипты, а разного рода закладки, то имеет смысл проверить открытые на рабочей станции порты (на предмет "левых" сервисов) и помониторить трафик.
Информацию, конечно, надо еще перепроверять (выводы пока делать рано) и анализировать дальше, но с сетевыми сервисами надо сейчас быть особо осторожными и постоянно обновлять антивирусные базы.
Можно, конечно, еще переползти на Linux или там на OpenBSD и утереть-таки нос сетевым хулиганам :)
