Analiza: Kako je hakovan sajt Teleprompter.rs?

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

U petak (17.4.2015) nas je sačekala vest da je sajt Teleprompter.rs oboren. Imajući u vidu sve češće napade na ovaj, ali i druge, po mom mišljenju mnogo relevantnije sajtove - to i nije neka vest. Međutim, ono što je "podiglo obrve" svima koji su iole upućeni u oblast bezbednosti informacija jeste činjenica da je pored obaranja sajta - obrisano sve što je bilo povezano sa tim sajtom. Podaci, mail adrese, nalozi i stranice na društvenim mrežama. Sve. Dok se drugi bave pitanjem "Zašto?", meni puls ubrza kad razmislim na temu "Kako?"

Teleprompter.rs hakovan, sve je obrisano sa servera, obrisani mailovi

Uvek prva pretpostavka - ljudski faktor

Na ovom blogu ste u više navrata mogli da pročitate da je čovek često najslabija karika u lancu sigurnosnih faktora i da se oblast bezbednosti informacija u tome ne razlikuje od drugih oblasti. Na ovoj činjenici se bazira i čitava "nauka" pod imenom Social Engineering čiji je cilj da, uz korišćenje tehnika obmane i ljudskih "slabosti", dođe do privilegovanih podataka, položaja, ili neke druge koristi. Šta to u slučaju Teleprompter.rs može da znači?

Kada čujem da je nekome "OBRISANO SVE" to obično znači jednu od dve stvari:

1) SVE je bilo registrovano na jednu centralnu mail adresu koja nije bila adekvatno obezbeđena pa je u tom slučaju potrebno doći samo do šifre te mail adrese a onda (najčešće) kroz proces resetovanja šifre doći do pristupa i ostalim mail adresama, nalozima, stranicama.

2) SVE je bilo registrovano na niz različitih mail adresa, ali je za sve naloge, stranice, adrese korišćena JEDNA ŠIFRA ili neke jednostavne (lako predvidive) varijacije iste šifre. Pitanje za vas: Koliko različitih šifri imate? Da li vam je ista šifra za mail i Facebook? Da li vaše šifre sadrže imena ili datume koji su vam bitni?

Ukratko, najsigurnija brava na svetu je apsolutno beskorisna ako ključ ostavljate ispod otirača. I kao što možete sami zaključiti, u jednom takvom hakovanju skoro da nema ničeg spektakularnog. Ako zanemarimo onaj deo da ipak treba doći do te jedne šifre koja je potrebna da se ceo lanac sigurnosnih zaštita raspadne. Međutim, jedna stvar je bila dovoljna da odbacim prethodne dve tačke.

Gmail 2-factor autentifikacija

2-factor autentifikacija

U tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvršio hakovanje" koji potpisuje glavni i odgovorni urednik sajta Teleprompter.rs se sa malo više detalja opisuje način registrovanja i zaštite naloga. Ono što je interesantno za ovu priču, nalozi su bili registrovani na više mail adresa, dakle to isključuje tačku 1. Šifre na tim nalozima su se razlikovale. I najinteresantniji detalj - korišćena je 2-factor autentifikacija. Šta to znači?

Većina korisnika za logovanje na sajtove, mail adrese i društvene mreže još uvek koristi samo username/password kombinaciju. Primer:

  • 1) korisnici Gmaila unose samo korisničko ime i šifru za logovanje.
  • 2) nakon potvrde da su uneti podaci ispravni, korisnik dobija pristup svom mailu

2-factor autentifikacija uvodi još jedan uslov koji je potrebno ispuniti za logovanje. Kod pomenutog Gmaila (ali i većine drugih servisa) to sad izgleda ovako:

  • 1) korisnik unosi korisničko ime i šifru,
  • 2) nakon potvrde da su uneti podaci ispravni Gmail šalje nasumično generisan i vremenski ograničen kod putem SMS-a ili telefonskog poziva
  • 3) korisnik unosi kod iz SMS-a ili telefonskog poziva u polje koje se prikazalo na sajtu
  • 4) nakon potvrde da je i ovaj  podatak ispravan korisnik dobija pristup svom mail nalogu.

Dakle, nije dovoljno samo uneti dobar kod, već uneti ga na vreme. Najčešće su vremenska ograničenja kodova 10 ili 15 minuta, ali ima i onih koji su validni 24h (zavisi od servisa). Jednom iskorišćen kod više nije validan. U svetlu ovih informacija, da se vratimo na pitanje šta to u slučaju Teleprompter.rs može da znači?

Da bi se uspešno preuzeo nalog koji je zaštićen 2-factor autentifikacijom, napadač bi najpre morao da na neki od načina pribavi korisničko ime i šifru tog naloga. Međutim, kako mu to nije dovoljno za logovanje, napadač bi najpre morao da sazna broj telefona koji je vezan za taj nalog, a zatim "presretne" SMS poruku ili poziv u kojem se nalazi kod. Međutim, najsofisticiraniji deo ovog napada se odnosi na "hakovanje" telefona. Zašto?

 Man in the middle attack scheme

Ko je čovek u sredini?

Da bi se presrela komunikacija između vašeg telefona i bazne stanice mobilne telefonije, najčešće se koristi "man in the middle" ("čovek u sredini", "posrednik") tehnika. Za ovu tehniku potreban vam je uređaj kojeg bazna stanica mobilne telefonije "vidi" kao vaš mobilni telefon. A sa druge strane, vaš mobilni telefon taj uređaj vidi kao baznu stanicu mobilne telefonije. Na ovaj način, uređaj se postavlja između vas i bazne stanice pa na taj način hvata sve što vi šaljete baznoj stanici i sve što bazna stanica šalje vama.

Taj uređaj se može podesiti tako da samo prosleđuje komunikaciju pa vlasnik mobilnog nije ni svestan presretanja, ali se može i podesiti tako da određene pozive i poruke prosleđuje na potpuno drugi uređaj, npr. laptop ili drugi mobilni telefon. Međutim, za ovako ciljano presretanje, priča je mnogo komplikovanija za sprovođenje u praksi. Zašto?

Oprema

Pre svega, oprema za jedan ovakav poduhvat je lako dostupna, legalna ali nije jeftina, tj. u opremu će uložiti samo oni koji se bave oblastima u kojima se ona koristi. U praksi se najčešće koristi slobodan OpenBTS softver na nekoj od hardverskih SDR rešenja (Software defined radio). Gotova rešenja prelaze cifru od 2500€, ne računajući dodatne komponente (laptop, antene, druga softverska rešenja,...). Na Internetu se mogu naći i šeme za samostalno sklapanje ovakvih uređaja, što bi u našem slučaju dodatno svedočilo o rešenosti ali i stručnosti napadača (tj. elektronika, pravljenje i povezivanje integrisanih ploča nije hobi za koji se odlučuje veliki broj ljudi).

Način funkcionisanja mobilnog telefona

Počevši od uključivanja telefona, bez obzira da li je u njemu SIM kartica ili ne, on komunicira sa okolnim baznim stanicama. Odluku na koju će se stanicu povezati, vaš mobilni telefon donosi na osnovu jačine signala i vlasnika bazne stanice, tj. ako ste Telenor korisnik - neće se povezati na baznu stanicu drugog operatera. Ali to nije sve.

Zamislite da ste u autobusu koji se kreće autoputem i neprestano razgovarate telefonom. U toku razgovora, vaš telefon se sa jedne bazne stanice povezuje na drugu i tako redom, jer jedna bazna stanica pokriva nekih 10km (ovo varira u zavisnosti od tipa stanice, terena kojeg pokriva, prepreka, materijala...).

Kako vam razgovor ne bi "pucao" kad god se telefon poveže sa jedne stanice na drugu, vaš telefon konstantno ima listu od bar 3 bazne stanice kojima je okružen. Kada primeti da signal sa jedne stanice slabi a sa druge jača, telefon pripremi konekciju za povezivanje na tu stanicu (tzv. Handover). Šta nam sve to govori?

Ko je čovek pred prozorom?

Kako bi se vaš mobilni telefon povezao na napadačev uređaj, potrebno je da "pomisli" da je taj uređaj zapravo legitimna bazna stanica. Da bi se to desilo:

  • 1) Napadačev uređaj mora da preuzme identitet (identifikacione kodove) neke od stanica koje se nalaze u okolini vašeg mobilnog telefona (setite se, mobilni telefon ima listu)
  • 2) Zatim, signal sa napadačevog uređaja mora da bude jači od signala legitimne bazne stanice. Da bi se to desilo, napadač mora da vam bude prilično blizu ili da ima ogromnu antenu. Ogromne antene su pre svega vrlo uočljive a u ovom slučaju zahtevaju i prilično jako napajanje pa je izbor napadača u praksi najčešće - fizička blizina vašem telefonu.

Međutim, da bi napadačev uređaj bio predstavljen baznoj stanici kao vaš telefon, uređaj mora da preuzme identitet vašeg telefona. To je lakše reći nego uraditi. Pomenuo sam da vaš telefon konstantno komunicira sa baznom stanicom. Deo komunikacije je provera identiteta, tj. bazna stanica postavi pitanje telefonu na koje samo telefon može da zna odgovor. Da stvar bude komplikovanija - ta komunikacija je kriptovana (zaštićena). Šta se desi kada bazna stanica postavi pitanje telefonu a dobije pogrešan odgovor, ne dobije odgovor uopšte, ili ne dobije odgovor u roku od sekunde? Razgovor "pukne", a vaš telefon postane "nedostupan".

"Trik" koji napadači koriste kako bi došli do tog kriptovanog koda se sastoji u sledećem: napadačev uređaj se predstavlja kao 2G bazna stanica, što automatski primenjuje 2G nivo enkripcije. Ovaj nivo je vrlo ranjiv i dobar računar može na vreme da je "razbije", dođe do zaštićenog koda i prosledi ga pravoj baznoj stanici. Ovaj postupak se ponavlja kad god prava bazna stanica uputi zahtev mobilnom telefonu. A ipak...

Možda nema čoveka u sredini

U ranije pomenutom tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvršio hakovanje", pominje se da je originalni broj telefona koji je bio vezan za nalog zamenjen brojem +381 64 000 2232. To mi se učinilo odmah zanimljivim jer - koliko ljudi znate sa brojem telefona koji počinje sa tri nule? A opet, da li bi ga neko koristio u nekom hakovanju umesto da kupi neki prepaid? (ja sam od onih što se sentimentalno vežu za broj telefona).

Ako još malo razmislimo o formatu broja - on jeste zanimljiv. Da li je moguće da se broj koristi za rad sa baznim stanicama? Često ekipe mobilnih operatera na terenu imaju posebne uređaje koji im služe za dijagnostiku, testiranja, merenja. Ti uređaji neretko imaju zanimljive "brojeve telefona". Da li je moguće da je napadač nekako došao do jednog od tih brojeva/uređaja i iskoristio ih da direktno pristupi baznoj stanici? U tom slučaju ne bi bilo potrebe za  klasičnim "man in the middle" napadom. Pitanje o broju telefona sam postavio Telekomu ali za sada nema potvrde (ni negiranja) ovog scenarija. Kada odgovor bude stigao, uključiću ga u tekst. (odgovor se nalazi na kraju teksta)

Da li je u hakovanju koriscen sluzbeni broj Telekoma?

Možda nema čoveka uopšte

Ne baveći se pitanjem "Zašto?", dotaknuću malo pitanje "Ko?". Nije moguće ignorisati "slučajnosti" da su se napadi na sajtove uvek dešavali nakon objavljivanja kritičkog sadržaja na račun vladajućih struktura i garnitura. U skladu sa tim, uvek postoji polemika:

1) Da li su sajtovi zaista napadani? A ukoliko jesu princip Okamove oštrice u tom slučaju direktno optužuje vlast. Procureli podaci o programima koje koriste IT timovi stranaka dodatno podržavaju ovaj tabor. Međutim, dosadašnji napadi nisu bili mnogo sofisticiraniji od klasičnog DDoS napada (kad 5000 pokuša u istom trenutku da uđe u klub kroz jedna vrata, pa na kraju niko ne može ni da uđe ni da izađe) pa nije bilo ni neke ozbiljnije analize i potrage za napadačima.

2) Ili su vlasnici sajtova (radi marketinga) sami obarali svoje sajtove? Iako je ovo nelogičan korak, ne može se isključiti takav scenario. U taj scenario naravno spadaju i tehničke karakteristike sajtova/servera jer se dešavalo da sajtovi budu nedostupni zbog toga što njihovi serveri ne mogu da izdrže znatno veću posetu. Detalj koji u slučaju Teleprompter.rs podržava ovaj tabor jeste lokacija napadača, tj. Google nalog je identifikovao tip računara i lokaciju na osnovu IP adrese što je redovna stvar kada redovno pristupate svom GMail nalogu. Međutim, zašto bi se neko pomučio da koristi vrlo naprednu tehniku i tehnologiju za presretanje komunikacije, a onda "zaboravio" da koristi neki od proxy servera koji mu maskiraju fizičku i IP adresu (što sada koriste i obični korisnici kada žele da pristupe Spotify servisu)?

Lokacija hakera sajta Teleprompter

Nakon svega - nekoliko dodatnih pojašnjenja

Sajt Teleprompter.rs je dospeo u moj "vidokrug" nakon teksta o "Culture Exchange" klubu koji je po mom mišljenju sadržao i elemente poziva na linč - što je na kraju rezultiralo i višestrukim napadima na prostorije kluba. Gledano iz tog ugla ali i kvalitativnog, sajt Teleprompter.rs nije imao neki značajan doprinos za onaj misleći deo populacije. Međutim, duboko držim do toga da svako ima pravo na reč uz odgovornosti koje idu uz to pravo.

Kao osnova za ovaj tekst su poslužili podaci koje je izneo glavni i odgovorni urednik sajta Teleprompter.rs. Nisam imao pristupa nalozima, logovima, serverima pa je moja analiza zasnovana samo na javno dostupnim podacima, znanju i iskustvu koje sam do sada stekao kroz obrazovanje i praksu. (educated guess)

Ukoliko je sve ili bar veći deo podataka iz teksta glavnog i odgovornog urednika sajta Teleprompter.rs istinit, hakovanje tog sajta je vrlo ozbiljna stvar koju bi pored organa za borbu protiv visokotehnološkog kriminala morali da ispitaju i mobilni operateri (jer se neko petlja sa njihovim baznim stanicama i uređajima njihovih korisnika). Radi objektivnosti, želim i da dodam da ceo ovaj tekst "pada u vodu" ukoliko je ključni korak u napadu obavljen preko naloga koji nije bio zaštićen 2-factor autentifikacijom. U tom slučaju bi napad svejedno bio vrlo ozbiljan i složen ali daleko jednostavniji od gore opisane manipulacije 2-factor zaštite.

UPDATE: Na upućeno pitanje Telekomu preko Twittera, stigao je odgovor da Telekom Srbija ne raspolaže traženim informacijama. Na pitanje da li zahtev mogu proslediti nekome ko tim informacijama raspolaže - nije bilo odgovora. Na pitanje da li je infrastruktura kompanije Telekom Srbija zloupotrebljena u nezakonitom presretanju komunikacija i ukazivanje na ozbiljnost tih implikacija dobili smo savet da se obratimo najbližoj poslovnici sa žalbom. Screenshot komunikacije je dat ispod ovog teksta. 

Odgovor Telekoma na pitanje da li je njihova infrastruktura korišćena u nezakonitom presretanju komunikacije

**slike preuzete sa portala Teleprompter.rs i Owasp.org

19.04.2015. 18:44

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Miskolino on 19.04.2015. 20:22

Ja ipak mislim da je njemu ukraden laptop i da je bio ulogovan na mailove ali neće da prizna :)

Peca on 19.04.2015. 20:40

ili je imao malware na mobilnom telefonu, koji je dolazni SMS prosledio napadaču...

dijica on 19.04.2015. 21:32

Odlican tekst Slavko. Za broj koji pocinje sa 000 si u pravu ;)

IKA on 19.04.2015. 23:04

Licno smatram da su napad izvele prilicno nestrucne osobe iz Telekoma, koje su imale pristup SMS porukama urednika sajta (ne zaboravite da SMS poruke ne samo sto prolaze kroz servere mobilne telefonije, nego se i "drze" na njima odredjeni vremenski period (uglavnom do 48h). Za MTS brojeve (opet kazem, MTS) koji pocinju sa 000 znam da ih koriste i politicari i radnici BIA, imao sam nekoliko takvih brojeva u imeniku. Urednik bi trebao da se preko online formulara obrati FBI IC3 jedinici koja je specijalizovana za visokotehnoloski kriminal, sa obzirom da se napad (formalno gledano) desio na teritoriji SAD-a i spada pod njihovu nadleznost. I naravno, moja podrska uredniku sajta Teleprompter.rs.

Sasa on 20.04.2015. 00:20

Urednik se može obratiti i kancelariji FBI u Sarajevu ako ova u Bgd jos nije aktivna...

Marko on 20.04.2015. 14:23

Spajver na telefonu je mogao napadaču proslediti poruke sa verifikacionim kodovima. Presretanje komunikacije imitiranjem baznih stanica je suvišno.
Sklon sam se složiti sa IKOM, napadač je imao insajdera u Telekomu.

maksa on 20.04.2015. 20:31

arp spoofing?

razum on 21.04.2015. 10:46

ima smisla da je sumnjivo, mislim na zadnji paragraf, da je bas ova frka ispala na sajtu koji je pozivao tada na linch Culture Exchange kluba. napravili su frku mlladim ljudima i izbacili ih iz zemlje, na osnovu njihovog "seksualnog opredjeljenja". po mom misljenju, TRAZE PUBLICITET,.

Naucna Fantastika on 21.04.2015. 12:41

Dakle, urednik/web admin teleprompter.rs je koristio 2 step verification, koristio je poseban mail nalog za svaki servis (server, domeni...), sluzio se kompleksnim lozinkama (such as #Hms34hM=J_a"), sto je "haker" sve uspeo da probije (za sta bi mu, realno, trebalo MNOGO novca i vremena, sto napad vec cini diskutabilnim, jer se navodi da je napad izveden zbog nekog objavljenog teksta - dakle, tekst je objavljen, a "haker", vec 24h kasnije, razbija sve sifre, presrece pozive i sms-ove, brise podatke, preusmerava sajt na kosovski...!?), ali "zaboravlja" da koristi proxy, da zamaskira svoj ip, ostavlja trag o broju telefona koji je navodno koriscen za ovo i, sto je izostavljeno iz ove analize, a dostupno javnosti, pokrenuo je postupak deaktiviranja fb stranice, zaboravljajuci da (navodno) treba da prodje 13 dana do trajnog brisanja te stranice? Pritom, ako se ne varam, mogao je, jednostavno, da ovlasti fiktivnog fb korisnika da upravlja stranicom, a da obrise "sebe" tj. vlasnika telepromptera, sa cijeg je naloga navodno usao na fb.

Ma, mislim, daj bre....naucna fantastika...

unirent on 06.05.2015. 10:11

Nikada ranije nisam cuo za taj Telepromter, a nije ni vecina mojih poznanika pre ovog napada. Tako da ne verujem da je previse vazan i toliko citan da bi se posevetilo toliko vremena i para da bi se hakovao na nacin koji je objasnjen. Mada ta oprema za presretanje nije ni tako skupa kao ranije, malo imucniji pojedinac moze da ih kupi, ali visoki su rizici bezbednosnog tipa ako se umesa policija pa vas otkrije da posedujete istu.
Ne volim teorije zavere ali bih rekao da je redakcija sama sebe "hakovala" da se malo promovise.

charuga on 14.05.2015. 21:22

Fantasticna analiza...

Ivan on 11.08.2015. 11:12

Pa vlasnik portala pise da su njemu stizali verifikacioni kodovi zar ne? Citati:"Zatim, isto u 10:13, stiže još jedan verifikacioni kod. Pa opet u 10:17, u 10:20, 10:22, 10:30, 10:35." Dakle nije postojao man in the middle ili?

Pored toga ovih nekoliko pasusa " Pa opet u 10:17, u 10:20, 10:22, 10:30, 10:35. U tom trenutku sam izgubio rat u povraćaju kontrole nad nalozima.

Više nisam znao za koji mejl mi je stizao koji verifikacioni kod. Hakeri su uspeli da promene sve alternativne mejl adrese za sve mejl adrese, kao i broj telefona za verifikaciju. Taj broj ću objaviti u nastavku.

Dva, tri puta sam uspeo da povratim kontrolu nad mejlovima, ali su hakeri uvek bili jedan korak ispred mene. ÄŒim ja nešto pomenim, oni ponovo vrate na svoje. "

..nisu bas konzistenti u izjavama: "Tog trenutka sam izgubio rat..", "dva, tri puta sam uspeo da povratim kontrolu".. a i zvuce senzacionalisticki sto nije cesto tipicna karakteristika nekoga ko ima iskustva u web bezbednosti ili ozbiljnim admin poslom. mozda i gresim

Sta Vi mislite?

:

:

:

SLAVKO ILIĆ

Autor ovog bloga je zaljubljenik u informacione tehnologije i njihovu primenu u svakodnevnom životu. Zastupnik pozitivne strane priče. Samostalni aktivista u poslu sa zmajevima. Ne lovi ih, komunicira sa njima. Ne boji se vetrenjača jer zna kako rade. Jednom rečju - Techtivist. Za sve ostale informacije i pitanja, tu su kontakt podaci.

Facebook: /ITkutak
Twitter: @ITkutak
Mail: ITkutak.com@gmail.com