Wprowadzenie
Cześć.
To 20 odcinek podcastu Szurkogadanie.
Jeżeli interesujesz się bezpieczeństwem ta audycja jest dla Ciebie.
Przedstawiam w niej 10 najciekawszych wiadomości powiązanych z security.
Większość materiałów do tego odcinka pochodzi z weekendowej lektury Zaufanej Trzeciej Strony.
Masz pytanie związane z bezpieczeństwem swojego kodu? Dołącz do naszej grupy "od 0 do pentestera" na Facebooku.
Zapraszam do słuchania.
Fałszywe rejestry firm
Jeżeli niedawno otworzyłeś swoją jednoosobową działalność gospodarczą istnieje duże prawdopodobieństwo, że na Twój adres korespondencyjny podany podczas rejestracji firmy zacznie przychodzić sporo podejrzanej korespondencji.
W większości są to groźnie wyglądające pisma, z których dowiadujesz się, że właśnie zostałeś dodany do rejestru firm i w związku z tym powinieneś uiścić opłatę manipulacyjną w kwocie 400 złotych.
Jeżeli otrzymałeś taką informację - nie martw się - właśnie ktoś próbuje Cię oszukać.
Schemat tego przekrętu jest banalnie prosty.
Rejestruje się firmę - której nazwa jest łudząco podobna na nazwy prawidłowego organu państwowego.
Mamy więc dla przykładu "Krajowy rejestr Sądowny" a właściwie "Krajowy rejestr Sadowny" - brak ogonka bowiem, to sprytnie przemyślania strategia.
Czy zatem piszą do nas producenci jabłek?
Dalej w piśmie używa się prawniczego języka - aby proste sformułowania jak najbardziej utrudnić.
Zamiast więc "proszę opłacić opcjonalną kwotę" natykamy się na "proszę opłacić fakultatywną opłatę".
Po wgłębieniu się w pismo - będziemy w stanie zrozumieć, że jest to tylko oferta handlowa - nie wiążąca nas w żaden sposób.
Firmy tego rodzaju próbują żerować na młodych przedsiębiorcach - którzy mogą być nieco zagubieni w gąszczu przepisów i naszego prawa.
Innym trikiem stosowanym w tego rodzaju pismach jest formatowanie ich w taki sposób, że słowo NIE jest oddzielone od wyrazów zobligowani, nakazuje, opłata jakimś innym znakiem - na przykład nawiasem.
W ten sposób można łatwo przeoczyć, że opłata jest opcjonalna.
A czy Ty otrzymałeś pismo tego rodzaju?
Daj znać w komentarzu pod tym filmem.
Tanie noclegi
Zapewne każdy z nas chciałby spędzić wakacje w luksusowym hotelu otoczony pięknymi krajobrazami, drinkami z palemką i dużym basenem.
Ale nie oszukujmy się. Tego rodzaju luksusy muszą swoje kosztować.
A co gdybym powiedział Ci, że możesz spędzić noc w takim hotelu za połowę normalnej ceny?
Skusił byś się na taką promocję?
I właśnie na tym bazują przestępcy, którzy w Internecie sprzedają noclegi w renomowanych hotelach za ułamek ich normalnej ceny.
Pierwsza myśl? To na pewno scam - mający wyłudzić od nas pieniądze.
Ale reporterzy Vice sprawdzili tą usługę na własną rękę - kierując się dużą ilością pozytywnych recenzji.
No i okazuje się, że to naprawdę działa - zatem otrzymujemy dostęp do usługi za mniejszą kwotę.
Jak to możliwe? W przeszłości tego rodzaju działania opierały się na kradzionych kartach kredytowych, które były używane do opłacania hoteli.
Jak można się domyślić nie jest to najlepsze rozwiązanie - właściciele kart w którymś momencie musieli się dowiedzieć o kradzieży, blokowali zatem karty a transakcje w hotelach były cofane.
Dodatkowo - zameldowana osoba w hotelu mogła zostać posądzona o kradzież - wszakże to ona była beneficjentem tej transakcji.
Teraz stosuje się odmienną metodę, którą jest używanie punktów lojalnościowych.
Praktycznie każda większa marka na świecie posiada swój własny program, w którym zbieramy punkty.
Znamy to ze stacji paliw czy też ze sklepów spożywczych. Nie inaczej jest w przypadku sieci hoteli.
Punkty można zbierać w zamian za noclegi czy też korzystanie z usług około hotelowych. Punktów zazwyczaj nie można również wymienić na gotówkę.
Można jednak przekazać je innej osobie - i to jest schemat działania przestępców.
Zamiast więc kraść numery kart kredytowych - kradnie się loginy i hasła do serwisów lojalnościowych, z których to transferuje się punkty na inne konta, a następnie za te punkty sprzedaje się tańszą usługę klientowi końcowemu.
To rozwiązanie ma wiele plusów z punktu widzenia atakujących.
Po pierwsze konto do serwisu hotelu to nie jest rzecz, której strzeżemy tak bardzo jak konta bankowego czy naszej karty debetowej.
Zazwyczaj strony tego rodzaju nie posiadają dwuskładnikowego uwierzytelnienia co jeszcze bardziej upraszcza sprawę kradzieży.
Dodatkowo, ciężko jest udowodnić osobie, która straciła punkty - że ktoś jej je ukradł.
Jak hotel ma bowiem sprawdzić - czy osoba, która była beneficjentem tych punktów nie jest naszymi znajomymi lub też czy po prostu jej tych punktów nie sprzedaliśmy?
Po trzecie kradzież punktów to sprawa hotelu, który zazwyczaj nie chce nagłaśniać problemu ze względu na zły PR.
Tak więc koło się zamyka. A czy Ty spotkałeś się z taką praktyką na naszym lokalnym rynku polskim? Daj znać w komentarzach.
Fałszywe profile na serwisach randkowych
Minęły już czasy w których przyszłą żonę czy też mężów poznawało się na żywo.
Mamy czas serwisów społecznościowych i randkowych, które upraszczają całą procedurę poznawania się.
Od razu mamy dostęp do kilkunastu zdjęć potencjalnego partnera życiowego, znamy jego orientacje, wzrost, wagę, zainteresowania i całą masę innych przydatnych informacji.
Wszak portale te, delikatnie sugerują nam, że im więcej danych o sobie podamy - tym większe prawdopodobieństwo odnalezienia prawdziwej miłości.
Ale czy zastanawiałeś się jaki jest realny koszt używania tych aplikacji?
I nie chodzi mi tutaj o różnego rodzaju konta premium, które można kupić za gotówkę - a o koszt naszej prywatności.
W Internecie można bowiem odnaleźć informację, iż koszt zakupu miliona profili pochodzących z portali randkowych to około 150 dolarów.
Ale po co ktoś chciałby kupować takie informacje?
Chcąc stworzyć nowy portal randkowy - musimy w jakiś sposób przyciągnąć do niego użytkowników.
Najprostszą metodą - jest zatem stworzenie fikcyjnych kont, które mają przyciągnąć potencjalnych użytkowników do naszej witryny.
Przejmowanie domen
Codziennie wchodzimy na co najmniej kilkanaście różnych stron internetowych - każda z nich posiada swoją domenę - unikalną nazwę, przy pomocy której trafiamy tam gdzie chcemy.
Obecnie koszt domeny nie jest duży - rocznie jest to związane z opłatą wynoszącą około 50 złotych.
Jeżeli zatem w głowie masz jakiś pomysł na biznes - zazwyczaj najpierw sprawdzasz, czy wymyślona przez Ciebie nazwa jest wolna - tak aby Twoja marka mogła się we właściwy sposób promować w Internecie.
Jak z każdą usługą subskrypcyjną - trzeba pamiętać o jej przedłużaniu.
Wiele bowiem osób czyha na nasze potknięcie. Jeżeli nie opłacimy domeny, zazwyczaj kilka sekund po jej wygaśnięciu jest ona wykupywana przez firmę zewnętrzną.
Kiedy już zorientujemy się, że zapomnieliśmy opłacić rachunek lub też automatyczna transakcja na karcie się nie powiodła, jest już za późno.
Jedynym wyjściem jest zatem skontaktowanie się z nowym właścicielem i próba wykupienia naszej domeny - oczywiście za dużo wyższą stawkę niż koszt normalnego przedłużenia.
Ale co w przypadku gdy podmiot przejmujący naszą internetową działalność ma złe intencje?
Wiele domen, które istnieją już kilka lat jest dobrze wypozycjonowanych w wyszukiwarkach.
Mowa tutaj głównie o różnej maści sklepach internetowych.
Obecnie można zaobserwować trend, że domeny takich sklepów są przejmowane i stawiane na nowo.
Dla przeciętnego Kowalskiego zatem nic się nie zmienia - dalej mamy do czynienia ze starym sklepem w nowej odsłonie graficznej.
Tym razem jednak - podany numer karty kredytowej trafia do przestępców - którzy w taki oto sposób próbują wyłudzić od nas prywatne informacje, podając się za inne firmy i wykorzystując ich markę - wykorzystują bowiem sklepy, które istnieją na rynku już kilka lat.
Zatem jeśli sam jesteś właścicielem jakiejś domeny - sprawdź kiedy kończy się jej ważność.
Fake news
Jeżeli kiedykolwiek używałeś serwisów społecznościowych lub też czytałeś serwisy plotkarskie to zapewne nie raz spotkałeś się z tak zwanym „fake newsem” - czyli wiadomością, która jest kłamstwem i nijak ma się do rzeczywistości.
Ale czy zadałeś sobie kiedyś pytanie kto i dlaczego je tworzy? Wszak prawda ostatecznie i tak wyjdzie na jaw po jakimś czasie.
Odpowiedzią są jak zwykle pieniądze - a będąc bardziej dokładnym liczba kliknięć w artykuł, która zostanie wygenerowana przez fałszywą wiadomość.
Im bardziej nierealny news - tym prawdopodobniej więcej interakcji z nim związanych - a one przekładają się już na realne pieniądze.
Bo to dzięki takim nowościom trafiamy zazwyczaj na zewnętrzne strony internetowe - które mogą na swoich łamach prezentować różne treści reklamowe.
A te reklamy - stanowią zarobek dla twórców.
W skali miesiąca mogą to być spore pieniądze, zwłaszcza jeżeli osoba, która je zarabia, mieszka i żyje w biednym kraju.
Dla przeciętnego Amerykanina kwota 100 dolarów miesięcznie nie jest niczym szczególnym.
Dla mieszkańca Kosowa natomiast - jest to mała fortuna, dzięki której może żyć na naprawdę wysokim poziomie.
Gdy przyjrzymy się temu tematowi bliżej okazuje się że jest to swego rodzaju prawdziwy biznes, za którym stoi wiele osób dzielących się wiedzą i sposobami jakie wiadomości najlepiej się sprzedają.
Tak wiec jeżeli następnym razem zobaczysz w Internecie coś co nie może być prawdą - będziesz wiedział o co chodzi.
Swatting
Czy słyszałeś drogi słuchaczu o słowie "Swatting"?
Nie istnieje polski oficjalny zamiennik tego słowa ale myślę, że zlepek słów "Groming" mógłby najwierniej oddawać czym jest dana czynność.
I nie chodzi mi tutaj o grom z jasnego nieba a o jednostkę wojskową GROM, która specjalizuje się w misjach specjalnych.
Tytułowy oddział SWAT jest jego amerykańskim odpowiednikiem.
Ale o co tak naprawdę chodzi?
Młode osoby dla zabawy dzwonią na policję, gdzie snują różnego rodzaju wizję, od informacji o podłożonej bombie poprzez dostawy sporej ilości narkotyków a skończywszy na strzelaninie w jakimś mieszkaniu.
Cel tej dezinformacji jest jeden - sprawienie, aby w dane miejsce - zazwyczaj mieszkanie - wysłany został uzbrojony po zęby oddział policji.
W umyśle nastolatków - ma to być więc świetny żart na koledze.
Tym ciekawszy w dzisiejszym świecie wszechobecnych kamer.
Załóżmy bowiem, że nasz kolega jest początkującym streamerem - gra więc w gry na komputerze jednocześnie przesyłając obraz i dźwięk do serwisów, na których oglądają go jego rówieśnicy.
Znając adres zamieszkania takiej osoby - możemy wysłać mu oddział specjalny do domu - a następnie ze śmiechem obserwować jego zdziwioną minę, gdy 10 panów w czerni wpada do pomieszczenia w akompaniamencie huków i wystrzałów granatów dymnych, zakuwając niczego nieświadomego nastolatka w kajdanki.
Takie pomysły to spory problem dla służb ratunkowych.
Jak bowiem odróżnić żart od prawdziwej sytuacji kryzysowej?
Kolejny powód aby nie podawać swojego adresu w Internecie.
Sniffing
Korzystanie z przeglądarki internetowej już nikogo nie dziwi i niektóre rzeczy traktujemy jak gdyby były z nami od dawna.
Warto jednak przyglądnąć się im bliżej.
Dzisiaj o zwykłych odnośnikach i hiperłączach znajdujących się w Internecie.
Czy zauważyłeś, że przeglądarka odpowiednio oznacza stronę, na której już kiedyś byłeś?
Najbardziej widoczną tego oznaką jest delikatna zmiana koloru takiego odnośnika.
Jak to działa? Przeglądarka przechowuje nasza historię stron, które odwiedziliśmy.
Wie zatem, na których stronach już byliśmy - przypisuje im zatem odpowiednie selektory CSS - stąd zmiana koloru.
W przeszłości można było zatem stworzyć stronę z dużą ilością adresów a następnie iterować po ich kolorach.
W taki oto sposób atakujący mógł z dużą dozą prawdopodobieństwa stwierdzić - czy byliśmy na jakiejś konkretnej stronie.
Obecnie taki atak w większości się nie powiedzie. To jednak nie ostatnie słowo badaczy bezpieczeństwa.
Nie można korzystać z kolorów - ale dalej można mierzyć czas.
Przeglądarki aby przyspieszyć ładowanie często odwiedzanych stron - przechowują część ich zasobów w tak zwanym cache, który jest szybką pamięcią podręczną.
Próbując pobrać zatem jakiś element strony, na przykład obrazek - jeżeli już na niej byliśmy prawdopodobnie otrzymamy zawartość tego obrazka z pamięci cache co jest dużo szybsze niż pobranie go przy pomocy zapytania http.
Obliczając więc różnice w czasach pobierania takich plików - możemy stwierdzić czy były one odwiedzane przez użytkownika.
Prawda, że sprytne?
Filtrowanie pola from w Gmail
Gmail to jedna z najpopularniejszych skrzynek pocztowych na świecie.
Wszystko za sprawą niezawodności i dobrego interfejsu webowego a także świetnej wbudowanej wyszukiwarki, która w ułamku sekund jest w stanie zlokalizować nasze wiadomości.
Jedną z funkcjonalności tej wyszukiwarki jest możliwość przeszukiwania odpowiednich katalogów.
Zamiast więc szukać wszędzie - możemy doprecyzować, aby dana fraza była wyszukiwana jedynie w wiadomościach wychodzących.
Dokonuje się tego przy pomocy słowa kluczowego: „in:sent”.
Jakież było zdziwienie osoby, która korzystała z pracowniczej skrzynki pocztowej, kiedy wyszukując danych właśnie w taki sposób - odnalazła w wiadomościach wysłanych emaila, którego sama nigdy nie stworzyła.
W takich sytuacjach pierwsze co przychodzi na myśl to to, że zostaliśmy zaatakowani i ktoś przejął nasza skrzynkę, wysyłając w naszym imieniu różne wiadomości.
Po szerszym zbadaniu całej sytuacji okazało się jednak, że nie był to atak.
Całe to zamieszanie związane jest ze sposobem, w jaki Gmail filtruje treść pola from - czyli nagłówka, w którym zdefiniowane jest imię i nazwisko nadawcy a także jego email.
Jeżeli w polu tym atakujący poda nasz adres email, to wiadomość ta zostanie błędnie zakwalifikowana jako wysłana przez nas.
Sprytny atakujący może wykorzystać tą metodę do przeprowadzenia ataków phishingowych.
A czy ty spotkałeś się z taką techniką? Daj znać w komentarzach.
Złośliwe aplikacje na iPhone
Ostatnia wiadomość na dziś.
Bardzo rzadko zdarza się aby w ekosystemie iOS znalazła się jakaś złośliwa aplikacja.
Ta o której dzisiaj mowa przynajmniej w teorii miała na podstawie zdjęcia wyliczać ilość kalorii, które się na nim znajdują.
Aby jednak ta funkcjonalność zadziałała – podczas całego procesu wyliczania kaloryczności naszych deserów musieliśmy trzymać kciuk na przycisku home znajdującym się na iPhone.
Po co, dlaczego?
Złośliwa aplikacja w odpowiednim momencie podstawiała bowiem ekran płatności za swój abonament – który kosztował prawie 500 złotych.
W standardowej konfiguracji – transakcje w sklepie mogą być potwierdzane poprzez touch id – czyli czytnik linii papilarnych wbudowany w iPhone.
I to właśnie na to liczyli atakujący – że wykonując polecenie znajdujące się na ekranie nie zauważymy, że tak naprawdę kupujemy dodatkową funkcjonalność do aplikacji.
Trzeba przyznać – sprytne zagranie.
I to wszystko w tym odcinku.
Zapraszam do subskrypcji kanału oraz dołączenia do grupy "od 0 do pentestera".
Do usłyszenia już za tydzień.
Icon made by Smashicons, Pixel perfect, Nikita Golubev from www.flaticon.com
