Analiza: Kako je hakovan sajt Teleprompter.rs?

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

U petak (17.4.2015) nas je sačekala vest da je sajt Teleprompter.rs oboren. Imajući u vidu sve češÄ‡e napade na ovaj, ali i druge, po mom mišljenju mnogo relevantnije sajtove - to i nije neka vest. MeÄ‘utim, ono što je "podiglo obrve" svima koji su iole upućeni u oblast bezbednosti informacija jeste činjenica da je pored obaranja sajta - obrisano sve što je bilo povezano sa tim sajtom. Podaci, mail adrese, nalozi i stranice na društvenim mrežama. Sve. Dok se drugi bave pitanjem "Zašto?", meni puls ubrza kad razmislim na temu "Kako?"

Teleprompter.rs hakovan, sve je obrisano sa servera, obrisani mailovi

Uvek prva pretpostavka - ljudski faktor

Na ovom blogu ste u više navrata mogli da pročitate da je čovek često najslabija karika u lancu sigurnosnih faktora i da se oblast bezbednosti informacija u tome ne razlikuje od drugih oblasti. Na ovoj činjenici se bazira i čitava "nauka" pod imenom Social Engineering čiji je cilj da, uz korišÄ‡enje tehnika obmane i ljudskih "slabosti", doÄ‘e do privilegovanih podataka, položaja, ili neke druge koristi. Šta to u slučaju Teleprompter.rs može da znači?

Kada čujem da je nekome "OBRISANO SVE" to obično znači jednu od dve stvari:

1) SVE je bilo registrovano na jednu centralnu mail adresu koja nije bila adekvatno obezbeÄ‘ena pa je u tom slučaju potrebno doći samo do šifre te mail adrese a onda (najčešÄ‡e) kroz proces resetovanja šifre doći do pristupa i ostalim mail adresama, nalozima, stranicama.

2) SVE je bilo registrovano na niz različitih mail adresa, ali je za sve naloge, stranice, adrese korišÄ‡ena JEDNA ŠIFRA ili neke jednostavne (lako predvidive) varijacije iste šifre. Pitanje za vas: Koliko različitih šifri imate? Da li vam je ista šifra za mail i Facebook? Da li vaše šifre sadrže imena ili datume koji su vam bitni?

Ukratko, najsigurnija brava na svetu je apsolutno beskorisna ako ključ ostavljate ispod otirača. I kao što možete sami zaključiti, u jednom takvom hakovanju skoro da nema ničeg spektakularnog. Ako zanemarimo onaj deo da ipak treba doći do te jedne šifre koja je potrebna da se ceo lanac sigurnosnih zaštita raspadne. MeÄ‘utim, jedna stvar je bila dovoljna da odbacim prethodne dve tačke.

Gmail 2-factor autentifikacija

2-factor autentifikacija

U tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvršio hakovanje" koji potpisuje glavni i odgovorni urednik sajta Teleprompter.rs se sa malo više detalja opisuje način registrovanja i zaštite naloga. Ono što je interesantno za ovu priču, nalozi su bili registrovani na više mail adresa, dakle to isključuje tačku 1. Šifre na tim nalozima su se razlikovale. I najinteresantniji detalj - korišÄ‡ena je 2-factor autentifikacija. Šta to znači?

Većina korisnika za logovanje na sajtove, mail adrese i društvene mreže još uvek koristi samo username/password kombinaciju. Primer:

  • 1) korisnici Gmaila unose samo korisničko ime i šifru za logovanje.
  • 2) nakon potvrde da su uneti podaci ispravni, korisnik dobija pristup svom mailu

2-factor autentifikacija uvodi još jedan uslov koji je potrebno ispuniti za logovanje. Kod pomenutog Gmaila (ali i većine drugih servisa) to sad izgleda ovako:

  • 1) korisnik unosi korisničko ime i šifru,
  • 2) nakon potvrde da su uneti podaci ispravni Gmail šalje nasumično generisan i vremenski ograničen kod putem SMS-a ili telefonskog poziva
  • 3) korisnik unosi kod iz SMS-a ili telefonskog poziva u polje koje se prikazalo na sajtu
  • 4) nakon potvrde da je i ovaj  podatak ispravan korisnik dobija pristup svom mail nalogu.

Dakle, nije dovoljno samo uneti dobar kod, već uneti ga na vreme. NajčešÄ‡e su vremenska ograničenja kodova 10 ili 15 minuta, ali ima i onih koji su validni 24h (zavisi od servisa). Jednom iskorišÄ‡en kod više nije validan. U svetlu ovih informacija, da se vratimo na pitanje šta to u slučaju Teleprompter.rs može da znači?

Da bi se uspešno preuzeo nalog koji je zaštićen 2-factor autentifikacijom, napadač bi najpre morao da na neki od načina pribavi korisničko ime i šifru tog naloga. MeÄ‘utim, kako mu to nije dovoljno za logovanje, napadač bi najpre morao da sazna broj telefona koji je vezan za taj nalog, a zatim "presretne" SMS poruku ili poziv u kojem se nalazi kod. MeÄ‘utim, najsofisticiraniji deo ovog napada se odnosi na "hakovanje" telefona. Zašto?

 Man in the middle attack scheme

Ko je čovek u sredini?

Da bi se presrela komunikacija izmeÄ‘u vašeg telefona i bazne stanice mobilne telefonije, najčešÄ‡e se koristi "man in the middle" ("čovek u sredini", "posrednik") tehnika. Za ovu tehniku potreban vam je ureÄ‘aj kojeg bazna stanica mobilne telefonije "vidi" kao vaš mobilni telefon. A sa druge strane, vaš mobilni telefon taj ureÄ‘aj vidi kao baznu stanicu mobilne telefonije. Na ovaj način, ureÄ‘aj se postavlja izmeÄ‘u vas i bazne stanice pa na taj način hvata sve što vi šaljete baznoj stanici i sve što bazna stanica šalje vama.

Taj ureÄ‘aj se može podesiti tako da samo prosleÄ‘uje komunikaciju pa vlasnik mobilnog nije ni svestan presretanja, ali se može i podesiti tako da odreÄ‘ene pozive i poruke prosleÄ‘uje na potpuno drugi ureÄ‘aj, npr. laptop ili drugi mobilni telefon. MeÄ‘utim, za ovako ciljano presretanje, priča je mnogo komplikovanija za sprovoÄ‘enje u praksi. Zašto?

Oprema

Pre svega, oprema za jedan ovakav poduhvat je lako dostupna, legalna ali nije jeftina, tj. u opremu će uložiti samo oni koji se bave oblastima u kojima se ona koristi. U praksi se najčešÄ‡e koristi slobodan OpenBTS softver na nekoj od hardverskih SDR rešenja (Software defined radio). Gotova rešenja prelaze cifru od 2500€, ne računajući dodatne komponente (laptop, antene, druga softverska rešenja,...). Na Internetu se mogu naći i šeme za samostalno sklapanje ovakvih ureÄ‘aja, što bi u našem slučaju dodatno svedočilo o rešenosti ali i stručnosti napadača (tj. elektronika, pravljenje i povezivanje integrisanih ploča nije hobi za koji se odlučuje veliki broj ljudi).

Način funkcionisanja mobilnog telefona

Počevši od uključivanja telefona, bez obzira da li je u njemu SIM kartica ili ne, on komunicira sa okolnim baznim stanicama. Odluku na koju će se stanicu povezati, vaš mobilni telefon donosi na osnovu jačine signala i vlasnika bazne stanice, tj. ako ste Telenor korisnik - neće se povezati na baznu stanicu drugog operatera. Ali to nije sve.

Zamislite da ste u autobusu koji se kreće autoputem i neprestano razgovarate telefonom. U toku razgovora, vaš telefon se sa jedne bazne stanice povezuje na drugu i tako redom, jer jedna bazna stanica pokriva nekih 10km (ovo varira u zavisnosti od tipa stanice, terena kojeg pokriva, prepreka, materijala...).

Kako vam razgovor ne bi "pucao" kad god se telefon poveže sa jedne stanice na drugu, vaš telefon konstantno ima listu od bar 3 bazne stanice kojima je okružen. Kada primeti da signal sa jedne stanice slabi a sa druge jača, telefon pripremi konekciju za povezivanje na tu stanicu (tzv. Handover). Šta nam sve to govori?

Ko je čovek pred prozorom?

Kako bi se vaš mobilni telefon povezao na napadačev ureÄ‘aj, potrebno je da "pomisli" da je taj ureÄ‘aj zapravo legitimna bazna stanica. Da bi se to desilo:

  • 1) Napadačev ureÄ‘aj mora da preuzme identitet (identifikacione kodove) neke od stanica koje se nalaze u okolini vašeg mobilnog telefona (setite se, mobilni telefon ima listu)
  • 2) Zatim, signal sa napadačevog ureÄ‘aja mora da bude jači od signala legitimne bazne stanice. Da bi se to desilo, napadač mora da vam bude prilično blizu ili da ima ogromnu antenu. Ogromne antene su pre svega vrlo uočljive a u ovom slučaju zahtevaju i prilično jako napajanje pa je izbor napadača u praksi najčešÄ‡e - fizička blizina vašem telefonu.

MeÄ‘utim, da bi napadačev ureÄ‘aj bio predstavljen baznoj stanici kao vaš telefon, ureÄ‘aj mora da preuzme identitet vašeg telefona. To je lakše reći nego uraditi. Pomenuo sam da vaš telefon konstantno komunicira sa baznom stanicom. Deo komunikacije je provera identiteta, tj. bazna stanica postavi pitanje telefonu na koje samo telefon može da zna odgovor. Da stvar bude komplikovanija - ta komunikacija je kriptovana (zaštićena). Šta se desi kada bazna stanica postavi pitanje telefonu a dobije pogrešan odgovor, ne dobije odgovor uopšte, ili ne dobije odgovor u roku od sekunde? Razgovor "pukne", a vaš telefon postane "nedostupan".

"Trik" koji napadači koriste kako bi došli do tog kriptovanog koda se sastoji u sledećem: napadačev ureÄ‘aj se predstavlja kao 2G bazna stanica, što automatski primenjuje 2G nivo enkripcije. Ovaj nivo je vrlo ranjiv i dobar računar može na vreme da je "razbije", doÄ‘e do zaštićenog koda i prosledi ga pravoj baznoj stanici. Ovaj postupak se ponavlja kad god prava bazna stanica uputi zahtev mobilnom telefonu. A ipak...

Možda nema čoveka u sredini

U ranije pomenutom tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvršio hakovanje", pominje se da je originalni broj telefona koji je bio vezan za nalog zamenjen brojem +381 64 000 2232. To mi se učinilo odmah zanimljivim jer - koliko ljudi znate sa brojem telefona koji počinje sa tri nule? A opet, da li bi ga neko koristio u nekom hakovanju umesto da kupi neki prepaid? (ja sam od onih što se sentimentalno vežu za broj telefona).

Ako još malo razmislimo o formatu broja - on jeste zanimljiv. Da li je moguće da se broj koristi za rad sa baznim stanicama? ÄŒesto ekipe mobilnih operatera na terenu imaju posebne ureÄ‘aje koji im služe za dijagnostiku, testiranja, merenja. Ti ureÄ‘aji neretko imaju zanimljive "brojeve telefona". Da li je moguće da je napadač nekako došao do jednog od tih brojeva/ureÄ‘aja i iskoristio ih da direktno pristupi baznoj stanici? U tom slučaju ne bi bilo potrebe za  klasičnim "man in the middle" napadom. Pitanje o broju telefona sam postavio Telekomu ali za sada nema potvrde (ni negiranja) ovog scenarija. Kada odgovor bude stigao, uključiću ga u tekst. (odgovor se nalazi na kraju teksta)

Da li je u hakovanju koriscen sluzbeni broj Telekoma?

Možda nema čoveka uopšte

Ne baveći se pitanjem "Zašto?", dotaknuću malo pitanje "Ko?". Nije moguće ignorisati "slučajnosti" da su se napadi na sajtove uvek dešavali nakon objavljivanja kritičkog sadržaja na račun vladajućih struktura i garnitura. U skladu sa tim, uvek postoji polemika:

1) Da li su sajtovi zaista napadani? A ukoliko jesu princip Okamove oštrice u tom slučaju direktno optužuje vlast. Procureli podaci o programima koje koriste IT timovi stranaka dodatno podržavaju ovaj tabor. MeÄ‘utim, dosadašnji napadi nisu bili mnogo sofisticiraniji od klasičnog DDoS napada (kad 5000 pokuša u istom trenutku da uÄ‘e u klub kroz jedna vrata, pa na kraju niko ne može ni da uÄ‘e ni da izaÄ‘e) pa nije bilo ni neke ozbiljnije analize i potrage za napadačima.

2) Ili su vlasnici sajtova (radi marketinga) sami obarali svoje sajtove? Iako je ovo nelogičan korak, ne može se isključiti takav scenario. U taj scenario naravno spadaju i tehničke karakteristike sajtova/servera jer se dešavalo da sajtovi budu nedostupni zbog toga što njihovi serveri ne mogu da izdrže znatno veću posetu. Detalj koji u slučaju Teleprompter.rs podržava ovaj tabor jeste lokacija napadača, tj. Google nalog je identifikovao tip računara i lokaciju na osnovu IP adrese što je redovna stvar kada redovno pristupate svom GMail nalogu. MeÄ‘utim, zašto bi se neko pomučio da koristi vrlo naprednu tehniku i tehnologiju za presretanje komunikacije, a onda "zaboravio" da koristi neki od proxy servera koji mu maskiraju fizičku i IP adresu (što sada koriste i obični korisnici kada žele da pristupe Spotify servisu)?

Lokacija hakera sajta Teleprompter

Nakon svega - nekoliko dodatnih pojašnjenja

Sajt Teleprompter.rs je dospeo u moj "vidokrug" nakon teksta o "Culture Exchange" klubu koji je po mom mišljenju sadržao i elemente poziva na linč - što je na kraju rezultiralo i višestrukim napadima na prostorije kluba. Gledano iz tog ugla ali i kvalitativnog, sajt Teleprompter.rs nije imao neki značajan doprinos za onaj misleći deo populacije. MeÄ‘utim, duboko držim do toga da svako ima pravo na reč uz odgovornosti koje idu uz to pravo.

Kao osnova za ovaj tekst su poslužili podaci koje je izneo glavni i odgovorni urednik sajta Teleprompter.rs. Nisam imao pristupa nalozima, logovima, serverima pa je moja analiza zasnovana samo na javno dostupnim podacima, znanju i iskustvu koje sam do sada stekao kroz obrazovanje i praksu. (educated guess)

Ukoliko je sve ili bar veći deo podataka iz teksta glavnog i odgovornog urednika sajta Teleprompter.rs istinit, hakovanje tog sajta je vrlo ozbiljna stvar koju bi pored organa za borbu protiv visokotehnološkog kriminala morali da ispitaju i mobilni operateri (jer se neko petlja sa njihovim baznim stanicama i ureÄ‘ajima njihovih korisnika). Radi objektivnosti, želim i da dodam da ceo ovaj tekst "pada u vodu" ukoliko je ključni korak u napadu obavljen preko naloga koji nije bio zaštićen 2-factor autentifikacijom. U tom slučaju bi napad svejedno bio vrlo ozbiljan i složen ali daleko jednostavniji od gore opisane manipulacije 2-factor zaštite.

UPDATE: Na upućeno pitanje Telekomu preko Twittera, stigao je odgovor da Telekom Srbija ne raspolaže traženim informacijama. Na pitanje da li zahtev mogu proslediti nekome ko tim informacijama raspolaže - nije bilo odgovora. Na pitanje da li je infrastruktura kompanije Telekom Srbija zloupotrebljena u nezakonitom presretanju komunikacija i ukazivanje na ozbiljnost tih implikacija dobili smo savet da se obratimo najbližoj poslovnici sa žalbom. Screenshot komunikacije je dat ispod ovog teksta. 

Odgovor Telekoma na pitanje da li je njihova infrastruktura korišÄ‡ena u nezakonitom presretanju komunikacije

**slike preuzete sa portala Teleprompter.rs i Owasp.org

19.04.2015. 18:44

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Miskolino on 19.04.2015. 20:22

Ja ipak mislim da je njemu ukraden laptop i da je bio ulogovan na mailove ali neće da prizna :)

Peca on 19.04.2015. 20:40

ili je imao malware na mobilnom telefonu, koji je dolazni SMS prosledio napadaču...

dijica on 19.04.2015. 21:32

Odlican tekst Slavko. Za broj koji pocinje sa 000 si u pravu ;)

IKA on 19.04.2015. 23:04

Licno smatram da su napad izvele prilicno nestrucne osobe iz Telekoma, koje su imale pristup SMS porukama urednika sajta (ne zaboravite da SMS poruke ne samo sto prolaze kroz servere mobilne telefonije, nego se i "drze" na njima odredjeni vremenski period (uglavnom do 48h). Za MTS brojeve (opet kazem, MTS) koji pocinju sa 000 znam da ih koriste i politicari i radnici BIA, imao sam nekoliko takvih brojeva u imeniku. Urednik bi trebao da se preko online formulara obrati FBI IC3 jedinici koja je specijalizovana za visokotehnoloski kriminal, sa obzirom da se napad (formalno gledano) desio na teritoriji SAD-a i spada pod njihovu nadleznost. I naravno, moja podrska uredniku sajta Teleprompter.rs.

Sasa on 20.04.2015. 00:20

Urednik se može obratiti i kancelariji FBI u Sarajevu ako ova u Bgd jos nije aktivna...

Marko on 20.04.2015. 14:23

Spajver na telefonu je mogao napadaču proslediti poruke sa verifikacionim kodovima. Presretanje komunikacije imitiranjem baznih stanica je suvišno.
Sklon sam se složiti sa IKOM, napadač je imao insajdera u Telekomu.

maksa on 20.04.2015. 20:31

arp spoofing?

razum on 21.04.2015. 10:46

ima smisla da je sumnjivo, mislim na zadnji paragraf, da je bas ova frka ispala na sajtu koji je pozivao tada na linch Culture Exchange kluba. napravili su frku mlladim ljudima i izbacili ih iz zemlje, na osnovu njihovog "seksualnog opredjeljenja". po mom misljenju, TRAZE PUBLICITET,.

Naucna Fantastika on 21.04.2015. 12:41

Dakle, urednik/web admin teleprompter.rs je koristio 2 step verification, koristio je poseban mail nalog za svaki servis (server, domeni...), sluzio se kompleksnim lozinkama (such as #Hms34hM=J_a"), sto je "haker" sve uspeo da probije (za sta bi mu, realno, trebalo MNOGO novca i vremena, sto napad vec cini diskutabilnim, jer se navodi da je napad izveden zbog nekog objavljenog teksta - dakle, tekst je objavljen, a "haker", vec 24h kasnije, razbija sve sifre, presrece pozive i sms-ove, brise podatke, preusmerava sajt na kosovski...!?), ali "zaboravlja" da koristi proxy, da zamaskira svoj ip, ostavlja trag o broju telefona koji je navodno koriscen za ovo i, sto je izostavljeno iz ove analize, a dostupno javnosti, pokrenuo je postupak deaktiviranja fb stranice, zaboravljajuci da (navodno) treba da prodje 13 dana do trajnog brisanja te stranice? Pritom, ako se ne varam, mogao je, jednostavno, da ovlasti fiktivnog fb korisnika da upravlja stranicom, a da obrise "sebe" tj. vlasnika telepromptera, sa cijeg je naloga navodno usao na fb.

Ma, mislim, daj bre....naucna fantastika...

unirent on 06.05.2015. 10:11

Nikada ranije nisam cuo za taj Telepromter, a nije ni vecina mojih poznanika pre ovog napada. Tako da ne verujem da je previse vazan i toliko citan da bi se posevetilo toliko vremena i para da bi se hakovao na nacin koji je objasnjen. Mada ta oprema za presretanje nije ni tako skupa kao ranije, malo imucniji pojedinac moze da ih kupi, ali visoki su rizici bezbednosnog tipa ako se umesa policija pa vas otkrije da posedujete istu.
Ne volim teorije zavere ali bih rekao da je redakcija sama sebe "hakovala" da se malo promovise.

charuga on 14.05.2015. 21:22

Fantasticna analiza...

Ivan on 11.08.2015. 11:12

Pa vlasnik portala pise da su njemu stizali verifikacioni kodovi zar ne? Citati:"Zatim, isto u 10:13, stiže još jedan verifikacioni kod. Pa opet u 10:17, u 10:20, 10:22, 10:30, 10:35." Dakle nije postojao man in the middle ili?

Pored toga ovih nekoliko pasusa " Pa opet u 10:17, u 10:20, 10:22, 10:30, 10:35. U tom trenutku sam izgubio rat u povraćaju kontrole nad nalozima.

Više nisam znao za koji mejl mi je stizao koji verifikacioni kod. Hakeri su uspeli da promene sve alternativne mejl adrese za sve mejl adrese, kao i broj telefona za verifikaciju. Taj broj ću objaviti u nastavku.

Dva, tri puta sam uspeo da povratim kontrolu nad mejlovima, ali su hakeri uvek bili jedan korak ispred mene. ÄŒim ja nešto pomenim, oni ponovo vrate na svoje. "

..nisu bas konzistenti u izjavama: "Tog trenutka sam izgubio rat..", "dva, tri puta sam uspeo da povratim kontrolu".. a i zvuce senzacionalisticki sto nije cesto tipicna karakteristika nekoga ko ima iskustva u web bezbednosti ili ozbiljnim admin poslom. mozda i gresim

Sta Vi mislite?

:

:

:

SLAVKO ILIĆ

Autor ovog bloga je zaljubljenik u informacione tehnologije i njihovu primenu u svakodnevnom životu. Zastupnik pozitivne strane priče. Samostalni aktivista u poslu sa zmajevima. Ne lovi ih, komunicira sa njima. Ne boji se vetrenjača jer zna kako rade. Jednom rečju - Techtivist. Za sve ostale informacije i pitanja, tu su kontakt podaci.

Facebook: /ITkutak
Twitter: @ITkutak
Mail: ITkutak.com@gmail.com