مهم: تلاش هکرهای مستقر در ایران برای نفوذ در یاهو، جی میل و اسکایپ

نمیدونم چرا بعضی از دوستان دنیا رو سیاه و سفید میبینن.
به فرض اینکه گرفتن این اعتبارنامه ها از داخل ایران باشه و هدفدار و از طرف دولت واقعا فکر میکنید خبرگزاری های داخل بررسی میکنن؟؟
ندیده میندازن گردن دشمن.
چیزی که مهمه اینه که اعتبارنامه ها باطل شده و با استفاده از مرورگر جدید مشکلی پیش نمیاد.

طبق گفته نایب رییس شرکت امنیتی کومودو بلافاصله بعد از جعل گواهی ها یک سایت با صفحه لاگ این شبیه یاهو از داخل ایران راه اندازی شده و سپس بمحض شناسایی حمله توسط خود راه انداز تعطیل شده

اینکه چطور میشه چندین میلیون ایمیل رو کنترل کرد چیزی که باید از کسی که این نیت رو داشته پرسید...ولی مگر در تمام کشورها ما سازمان امنیت و وزارت اطلاعات برای چند ده میلیون جمعیت نداریم؟ خوب اونجا هم میشه گفت این چه کار بیهوده ای مگه 50 میلیون نفر رو میشه کنترل کرد؟

ضمنن این یک خبر سیاسی نیست که ما دنبال منبع ناموثق میگردیم...این خبری است که اول توسط سایتها و شرکتهای امنیتی اعلام شده..من خودم با خوندن zdnet متوجه اش شدم ...اصلن bbc رو فراموش کنید : )...تنها کاری که bbc و سایر خبرگزاریها کردن نقل قولها بود
یکبار دیگه میگم شرکتها از این بابت بشدت شرمنده و بیمناکن
کومودو مرتب تقصیر رو میندازه بر سر پارتنر اروپاییش
مایکروسافت گفت که وظیفه ما ترمیم این باگ نبود ولی پیگیری کردیم
نورتون گفت که گواهی های دیجیتال مستحکمن
و...

نقل قول:

---

چیزی که مهمه اینه که اعتبارنامه ها باطل شده و با استفاده از مرورگر جدید مشکلی پیش نمیاد.

---

تموم شد و رفت : ) حالا کسی میخواد مرورگر قدیمیشو داشته باشه مختاره..ولی تا اونجا که من میدونم همه آپدیت میکنند..حتا دوستانی که مشکوکن

نکته جالب توجه اینه که رسانه های داخلی این خبر رو به کل سانسور کردن که خیلی جالب و قابل تامل هست!

نقل قول:

---

نوشته شده توسط taghi_ramzi [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حالا یه سوال پیش اومده برا من
فرض کن شما یه مقام امنیتی هستی و همه امکاناتی هم دستته
بازم فرض کنیم 30 میلیون آیدی و پسورد دستته و نیروی انسانی لازمه رو داری که بتونه اونها رو دائم کنترل کنه
بهت خبر میرسه که آدرس badboy69[at]yahoo.com به maloos20[at]gmail.com ایمیل زده و به فلانی فحش داده !
اصلاً دعوتش کرده که بیاد تو خیابون ! اصلاً بهش یاد داده بمب ساعتی درست کنه !
چه کاری از دستت بر میاد ؟ چی کار می تونی بکنی ؟ این به چه دردت می خوره ؟

این خبر هم مثل بقیه خبرهای بی بی سی از نوع خبرهاییه که برای ذهن های آماده طراحی شده
یعنی ذهن مخاطب احتمالی آماده ست که اینو قبول کنه و یهو خبرو تو سایت می خونه
مثل اون خبر نامه جعلی وزیرکشور که آدمی رو می شناسم هنوزم باور نکرده این نامه جعلیه !

شاید اطلاعات من ناقصه
میشه یکی به من بگه با جعل یا داشتن اصل گواهی دیجیتال، یه هکر چیکار می تونه بکنه ؟

---

نیروی انسانی زیادی نمیخواد با یک صافی ایمیل های عبارات مشکل دار داشته باشن رو پیدا میکنن
همونطوری که میتونن sms ها رو کنترل کنن
در ضمن ایمیل یه طرف رو پیدا کنن ip طرف رو که رو ایمل لوگین شده رو پیدا میکنن و بعد isp ادرس دقیقشو با این ای پی میده و بعد .........:27:
در ضمن این خبر ماله بی بی سی نیست حاشیه سازی هم نکنید

----------------------------

نقل قول:

---

در ضمن ایمیل یه طرف رو پیدا کنن ip طرف رو که رو ایمل لوگین شده رو پیدا میکنن و بعد isp ادرس دقیقشو با این ای پی میده و بعد

---

من یه ایمیل بدم با پسوردش ، میتونی آی پی شو برام پیدا کنی ؟

نقل قول:

---

نوشته شده توسط taghi_ramzi [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من یه ایمیل بدم با پسوردش ، میتونی آی پی شو برام پیدا کنی ؟

---

من هکر نیستم که ولی میشه :31:
اگه به فروم اشیانه یه سر بزنی میینی که ترفند های وجود داره که از یاهو مسنجر ای پی کسی رو که باهاش چت میکنی میشه پیدا کرد که خودشم این یه ترفند خیلی ابتدایی هست دیگه چه برسه که هکر حرفه ای باشی


البته هر کسی کمی -- بلد باشه با راه حل fake page میشه ای پی رو گرفت

در پاسخ به ان دوستمان که گفتی کی تا حالا توانسته اینکار را بکنه :: چین در hijack سابقه دارتر و حرفه ایتر است:
[HTML]http://forum.p30world.com/showthread.php?t=454810[/HTML]

حتما در خبرها درباره‌ی چندین گواهی SSL که برای سرقت اطلاعات کاربران در اختیار مهاجمان قرار گرفته بود شنیده‌اید. اما اجازه دهید با کمک سرویس اخبار کاسپرسکی و موزیلا، که اطلاعات تقریبا کاملی درباره‌ی این اتفاق منتشر کرده‌اند، دقیق‌تر قضیه را مرور کنیم.
این مهاجم از اکانتش بر روی کومودو برای انتشار ۹ گواهی جعلی برای ۷ نام دامنه استفاده کرد. البته این اکانت از نیوجرسی که کومودو آنجا فعالیت می‌کند تهیه نشد، بلکه از زیرمجموعه‌ی کومودو در یکی از کشورهای اروپای جنوبی، تهیه شد. برخی از این گواهی‌های جعلی برای این آدرس‌ها در نظر گرفته شده بودند: mail.google.com، login.yahoo.com، login.live.com، addons.mozilla.org، login.skype.com
این گواهی‌ها بین ۶ تا ۸ بعد از ظهر ۱۵ مارس منتشر شد، که خوشبختانه کومودو تقریبا فوری این جعل را شناسایی کرد و گواهی‌های صادر شده را باطل و حساب شخص مهاجم را نیز بست.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

طبق گفته‌های شرکت کومودو، تنها فعالیت‌های صورت گرفته با این گواهی‌های جعلی، ۲ بازدید بوده است، یکی از IP مهاجم و دیگری هم آدرس IP نزدیک به آن، و البته به اضافه‌ی بازدیدهای صورت گرفته توسط کومودو. این آمار بیانگر این است که مهاجم نتوانسته استفاده‌ای از گواهی‌های جعلی‌اش ببرد. اگرچه احتمال ضعیف مسدود شدن درخواست‌های OCSP نیز وجود دارد اما موزیلا و کومودو مدارکی مبنی بر تایید این احتمال نیافته‌اند.
بهرحال مهاجم با این گواهی‌های جعلی توانایی کنترل شبکه‌ی قربانی خود را داشته است. مثلا، گواهی جعلی برای addons.mozilla.org به او این اجازه را می‌داد که نسخه‌ی جعلی از addons.mozilla.org را تحویل کاربر دهد تا از این طریق نرم‌افزارهای جعلی را نصب کند. اما این جعل از طریق به‌روزسازی امکان‌پذیر نیست. بنابراین به‌روز رسانی افزونه‌ها باعث ایجاد خطر برای کاربر نمی‌شد. البته جعل گواهی برای وب‌میل‌ها، مانند mail.google.com، به علت خطر شنود اطلاعات خصوصی کاربران، آنها را در وضعیت به مراتب خطرناک‌تری قرار داده بود.
شرکت کومودو در ۹ و ۴۷ دقیقه روز بعد، یعنی ۱۶ مارس، موزیلا را در جریان این اتفاق می‌گذارد. موزیلا هم فایرفاکس را با ۲ وصله‌ی اضافی به عنوان فایرفاکس ۴ نسخه کاندید ۲ منتشر می‌کند. این وصله‌ها به عنوان آپدیت برای کاربرانی که هنوز از فایرفاکس نسخه‌های ۳٫۵ و ۳٫۶ استفاده می‌کنند هم در نظر گرفته شد. البته موزیلا در حین ارایه‌ی نسخه‌ی جدید فایرفاکس درباره‌ی این وصله‌ها خبری منتشر نکرد چرا که امکان مسدود شدن وصله‌های امنیتی توسط مهاجم می‌رفت.
کومودو با اطلاع به مایکروسافت و گوگل، آنها را نیز در جریان این اتفاق قرار می‌دهد تا اطمینان حاصل کند گواهی‌های جعلی، که برای چند آدرس بسیار مهم مانند جیمیل، یاهو و هات‌میل، صادر شده بود در لیست سیاه مرورگرها قرار می‌گیرد.
بهرحال این اتفاق باعث ایجاد نگرانی‌هایی درباره‌ی روند کار صادرکنندگان گواهی شده است. چرا که مهاجم توانسته گواهی برای آدرس‌های اینترنتی که متعلق به گوگل، مایکروسافت و یاهو است، صادر کند. Moxie Marlinspike، متخصص امنیت، که به علت تحقیقاتش درباره‌ی حملات علیه SSL، شناخته شده است می‌گوید: «ارایه‌‎دهندگان گواهی‌ها، مخصوصا بازفروشندگانشان به خاطر سیستم تعیین اعتبار افتضاح شناخته شده هستند.» او می‌گوید: «چند سال پیش، Mike Zusman، تنها با درخواست گواهی برای login.live.com توانسته بود که آن را به دست بیاورد.»
اما مدیرعامل کومودو از طرف دیگر به قضیه می‌نگرد و بیشتر در این‌باره توضیح می‌دهد: «دریافت یک گواهی برای گوگل و قرار دادنش در یک وب‌سایت دیگر، کافی نیست. شما بایستی به زیرساخت DNS دسترسی داشته باشید. بنابراین آن گواهی‌ها بدون داشتن دسترسی به زیرساخت DNS کاملا بی‌مصرف هستند. اگر زیرساخت DNS مطمئن و امن باشد، این گواهی‌ها توانایی انجام چه کاری را دارند؟ هیچ.»
البته به نظر می‌رسد که مدیرعامل کومودو زمان بسیاری را صرف سرهم‌بندی این بدیهیات کرده است، چرا که آنها ۸ روز پس از این اتفاق، درباره‌ی آن به کاربران اطلاع دادند. این را هم بایستی در نظر داشت که شرکت کومودو به علت سهل‌انگاریش در شرایط بدی قرار گرفته و به قول نایب رییس Venafi: «سخت تنهاست.»
اما شما اگر مرورگرتان به روز نیست، آن را به نسخه‌ی جدید به روز کنید و اگر از سیستم عامل ویندوز استفاده می‌کنید، وصله‌ی مربوطه را از [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] نصب کنید.
توضیح: OCSP وظیفه‌ی اعلان ابطال گواهی به مرورگر را بر عهده دارد.

1reza.net

روز گذشته سایت‌های مختلف خبری، خبر دادند که فردی در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ، سایتی برای اشتراک داده‌ها، با ارایه‌ی جزییاتی دقیق از حمله به کومودو، دلایل خود را برای این رفتارش بیان کرده است.
او در متن، به نام کاربری و رمز عبور نماینده کومودو برای ثبت درخواست‌ها در سیستم اشاره می‌کند. آدرس ایمیل مدیر عامل InstantSSL و نام پایگاه‌داده‌های مورد استفاده‌ی وب‌سایت GlobalTrust از جمله دیگر اطلاعات ارایه شده توسط اوست. این هکر همچنین، نماینده‌ی کومودو در ایتالیا را نقطه ضعف کومودو در این اتفاق می‌داند. علاوه بر این، در پایان، قسمتی از کد دکمپایل شده را منتشر می‌کند.
او می‌گوید که ارتباطی با Iranian Cyber Army ندارد و فقط هـک کرده است…

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

… متوجه شدم که مدیرعامل کومودو و دیگران از حمله‌ی مدیریت شده صحبت می‌کنند… من یک هکر با تجربه ی ۱۰۰۰ هکر هستم، من یک برنامه‌نویس با تجربه‌ی ۱۰۰۰ برنامه‌نویس هستم. این اتفاق، یک اتفاق مدیریت شده نبود… پس از یک تلاش کوچک، وب‌سرورشان را آنالیز کردم و به راحتی به سرور دسترسی کامل یافتم. پس از یک بررسی بر روی سرورشان متوجه شدم که TrustDll.dll با «امضا» در ارتباط است. به زبان سی‌شارپ (ASP.NET) نوشته شده بود. DLL را دکمپایل کردم و نام‌کاربری و رمز عبور GeoTrust و حساب کاربری فروشنده کومودو را به دست آوردم.
آدرس بازفروشنده‌ی GeoTrust کار نمی‌کرد، داخل ADTP.cs بود. سپس متوجه شدم حساب کومودوی‌شان کار می‌کند و آدرس کومودو فعال است. به حساب کومودو لاگین کردم و دیدم که حق امضا با استفاده از API ها را دارم…
باید اشاره کنم که ۲۱ سال سن دارم. اجازه دهید به دلیل ارسال این پیغام بازگردیم… وقتی‌که آمریکا و اسراییل استاکس‌نت را ساختند، هیچ‌کس درباره‌ی آن صحبت نکرد، هیچ‌کس سرزنش نکرد، به هیچ‌وجه اتفاقی نیافتاد، پس وقتی‌که من به گواهی‌هایی دسترسی پیدا می‌کنم نیز نباید اتفاقی بیافتد…
وقتی که آمریکا و اسراییل می‌توانند ایمیل‌های من را در هات‌میل، یاهو، جیمیل و اسکایپ بدون هیچ مشکل کوچکی بخوانند، وقتی که آنها با استفاده از Echelon جاسوسی می‌کنند، هر کاری که بتوانم می‌کنم. شما انجام می‌دهید، من هم انجام می‌دهم، همین. شما متوقف شوید، من متوقف نمی‌شوم. این یک قانون است.
پس چرا تمام جهان نگران است، شکه شده و تمام نویسندگان درباره‌ی آن می‌نویسند، اما هیچ‌کس دیگر درباره‌ی استاکس‌نت نمی‌نویسد؟ هیچ‌کس درباره‌ی هارپ نمی‌نویسد، هیچ‌کس درباره‌ی Echelon نمی‌نویسد… پس هیچ‌کس هم نباید درباره‌ی گواهی‌های SSL بنویسد…
می‌توانید متن کامل را از [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] بخوانید. تجزیه و تحلیل و قضاوت درباره‌ی مانیفست هکر بر عهده‌ی خودتان.
- قضیه را در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] هم می‌توانید بخوانید.
پ.ن: آقای Robert Graham از Errata Security و Mikko Hypponen از اف‌سکیور، درستی اطلاعات ارایه شده توسط هکر را تایید می‌کنند ( [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ).

1reza.net

متن زیر ترجمه [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] هست که توسط سایت گویا آی تی انجام شده است:



داشتم خبرهای مربوط به حملات اخیر به کومودو و دستیابی به سیستم امضای گواهینامه آن را دنبال می­کردم. امروز متوجه شدم که او نظراتی درباره حمله ­اش منتشر کرده و برخی ادعاهای مُهمل را مطرح کرده است، به همین خاطر تصمیم گرفتم پاسخی به او بنویسم که از این قرار است:

اول از همه شما ادعا کردی که یک بچه ۲۱ ساله هستی، شوخی می­کنی؟ هدف این حمله ایجاد گواهینامه­ های امضا شده توسط مرکز گواهینامه­ های دیجیتال کومودو برای mail.google.com و login.yahoo.com و غیره بوده است که تنها می­تواند برای نوع حمله [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] مورد استفاده قرار گیرد. در واقع اگر شما به زیرساخت اینترنت در ایران دسترسی نداشته باشید، این گواهینامه ­ها به درد نخواهند خورد! چرا یک بچه ۲۱ ساله می­خواهد چنین کاری بکند؟ اگر شما به برخی گواهینامه ­ها که هیچ جا قابل استفاده نیستند علاقه­ مندید، دفعه بعد به من یک ایمیل بزنید، من خودم چند گواهینامه امضا می­کنم و برایتان می­فرستم.

ثانیا، من با اینکه آنچه شما انجام داده­اید تحسین­ برانگیز است موافقم. این نشانگر بودجه و اندازه سازمان تبه­کار شما به منظور یافتن حفره­های امنیتی در اینترنت است. ولی شما چیزی اساسی یا جدی را در اینترنت به مخاطره نیانداخته ­اید! آیا فکر می­کنید که چنین ترفندی که علیه مردم ایران استفاده کرده ­اید (منظورم تفاخریست که به قدرتتان می­کنید) روی بقیه دنیا هم کارگر می­افتد؟ در واقع وقتی من ۲۱ ساله بودم می­توانستم کارهایی بهتر از شما (کل سازمان تبه­کار شما) انجام دهم. خیلی خنده­ دار است. اگر دوست داشتید می­توانم چند مدرک برایتان بفرستم.
چون شما گواهینامه­ های جعلی برای یاهو و گوگل امضا کرده ­اید، خیلی­ ها فکر می­کنند سیستمشان را -- کرده ­اید و امنیتشان را به مخاطره انداخته ­اید! ولی حرفه ­ای­ ها می­دانند که این کاری به گوگل یا یاهو یا امنیت سیستمشان ندارد. همه چیز صحیح و سالم است. تنها کمپانی هایی که باید مورد سرزنش قرار گیرند کومودو و شریک ایتالیایی آنها هستند که سیستم امنیتی ضعیفی داشته ­اند و من اطمینان دارم که مقامات مسئول برایشان دردسرهای بسیاری ایجاد کرده ­اند

سوم اینکه، شما صحبت از شکستن کلیدهای RSA 2048 و غیره به میان آورده­اید، این برایم حرف مضحکی بود. شما حتی قادر به شکستن امنیت RSA 16 بیتی هم نیستید! واقعا خنده­ دار است
اگر شما توان انجام چنان کاری را داشتید که نیازی به ساخت گواهی­ های جعلی از کومودو پیدا نمی­­کردید، شما این گواهی­ های جعلی را تولید کردید چون نمی­توانید ترافیک SSL را در ایران رمزگشایی کنید! شما به گواهینامه­ های جعلی نیاز دارید تا حمله شخص واسط را انجام دهید. این خودش نشان می­دهد که چقدر ضعیف هستید. پس دست بردارید، به قدرتتان ننازید. ما همه می­دانیم که این یک دروغ بزرگ است.

چهارم اینکه، بیایید فرض کنیم که شما به ریشه صدور گواهینامه ­های دیجیتال کومودو دسترسی پیدا کرده و خودتان می­توانید گواهینامه ­ها را امضا کنید. فکر نمی­کنم دستاورد بزرگتری برایتان وجود داشته باشد! می­دانید چه اتفاقی می­افتد؟ در کمتر از ۲۴ ساعت همه مرورگرهای عمده نرم­افزارشان را به­روز می­کنند و گواهینامه­ ها را باطل می­کنند. به همین سادگی. به همین خاطر به شما توصیه می­کنم وقتتان را روی راهکارهای بهتری تلف کنید.

پنجم اینکه، شخصا می­خواهم از شماها به خاطر انجام چنین کاری تشکر کنم، آنچه شما انجام دادید حاصلی برایتان نداشت و چهره واقعی شما را به دنیا نشان داد. من نمی­خواهم در این مطلبم وارد موضوعات سیاسی شوم ولی این کار منافع امنیتی بسیاری برای اینترنت داشت. اطمینان دارم که مقامات مسئول اکنون روی پیاده ­سازی روالهای امن­ تر و ایمن­ تر برای تولید گواهینامه ­ها کار می­کنند و گواهینامه­ های ابطال شده را بررسی می­کنند. از شما متشکرم.

و در پایان مایلم با مردم ایران صحبت کنم، آنها فقط دارند سعی می­کنند شما را بترسانند. آنها هیچ چیز جدی را در اینترنت به مخاطره نیانداخته ­اند. این حمله نشان می­دهد که آنها چیزی در دست ندارند. این گواهینامه­ های جعلی نمی­توانند برای رمزگشایی ترافیک SSL به کار روند. همیشه از ارتباطات VP*N رمزگذاری­شده و برای ایمیلها از ارتباطات SSL استفاده نمایید، جی­میل بهترین است. همچنین همیشه از آخرین ویرایشهای مرورگر کروم گوگل و فایرفاکس برای مرور وب استفاده کنید. هرگز از اینترنت­ اکسپلورر استفاده نکنید! حتی ویرایش ۹ آن. در این صورت ایمن خواهید ماند.
منبع: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]