Pull to refresh

Взлом аккаунтов оппозиции на Facebook, Gmail и Yahoo

Information Security *
Власти Туниса подают пример, как можно эффективно расправляться с оппозицией в интернете. Вместо фильтрации трафика они просто удаляют враждебные аккаунты.

Местное издание The Tech Herald раскрывает технику взлома. Для пользователей в Тунисе страницы Facebook, Gmail и Yahoo при соединении по HTTP вместо HTTPS поступают с «добавкой» в 10 строк кода. Этот JavaScript служит для сбора логинов и паролей. Вот образцы модифицированных страниц Gmail, Yahoo и Facebook. Очевидно, скрипт внедряется на уровне ISP.

Возможно, сбор паролей у оппозиции начался ещё в июле 2010 года, когда местный провайдер-монополист впервые блокировал протокол HTTPS для пользователей внутри страны.

Специалисты по безопасности из независимых компаний подтвердили вредоносность скрипта и попытались объяснить механизм его работы. Получив данные для авторизации, он шифрует их слабым криптоалгоритмом и помещает в URL, добавляя пять случайных символов, так что получается адрес вроде www.google.com/wo0dh3ad. К нему из браузера отправляется GET-запрос, который перехватывается на уровне национального ISP.

Дальше требуется только расшифровать полученные данные и использовать их в нужный момент для входа в чужие аккаунты.

Вообще-то, причастность правительства Туниса к этой хакерской атаке не доказана, но специалисты считают, что вряд ли какие-то посторонние злоумышленники могли компрометировать всю сетевую интернет-инфраструктуру страны. Тем более государственный провайдер-монополист Tunisian Internet Agency (принадлежит министерству связи) и раньше был уличён в фильтрации трафика: в апреле 2010 года они заблокировали доступ из Туниса к сайтам Flickr, YouTube и Vimeo.

Массовые волнения в Тунисе начались 17 декабря в знак протеста против безработицы и неудовлетворительных социальных условий. За месяц от столкновений с полицией погибли, по разным оценкам, от 23 до 100 человек, несколько сотен получили ранения. В минувшие выходные ситуация значительно обострилась и власти были вынуждены ввести в столицу войска.

Группировка Anonymous уже запустила операцию «Тунис», обвалила сайт Tunisian Internet Agency более чем на сутки и рекомендует местным пользователям установить расширение к браузеру, которое вырезает из страниц вредоносный скрипт.

По теме:
19 декабря 2010 года белорусский провайдер-монополист «Белтелеком» тоже блокировал HTTPS (точнее, порт 443) для пользователей внутри страны.
Tags:
Hubs:
Total votes 62: ↑52 and ↓10 +42
Views 2.4K
Comments 27
Comments Comments 27