Hirdetés

Hogyan szerezhetjük meg könnyedén egy Gmail-fiók jelszavát?

A múlt héten számoltunk arról a nagy port felvert ügyről, amelynek lényege, hogy egy hacker megszerzett a Twitter egyik alapítójának Google Apps-fiókjából több száz bizalmas természetű, a vállalkozás gazdasági ügyeit, terveit tartalmazó dokumentumot. Ilyen támadások mindennaposak, ám ez az ügy több szempontból is különösen érdekes. Egyrészt, mert napjaink egyik legdinamikusabban fejlődő IT-cégéről van szó. Másrészt pedig azért, mert a megszerzett fájlokat a hacker elküldte a TechCrunch nevű lapnak, akik ezek közül többet nyilvánosságra hoztak – arról  még most is folyik a vita és birkózás, hogy vajon mennyire volt jogszerű az újságírók lépése.

De a legizgalmasabb mégis az a módszer, amellyel „Hacker Croll” megszerezte a jelszavakat és az azonosítókat, mivel iskolapéldaként mutatja be az internetes munkában, az online adattárolásban fellelhető biztonsági kockázatokat. A múlt héten még keveset lehetett erről tudni, de a hét végén a TechCrunch (némiképp talán a figyelmet elterelendő az etikailag megkérdőjelezhető dokumentumközlésről) a Hacker Crolltól kapott információk alapján részletesen bemutatta a történet hátterét, a hacker által alkalmazott módszereket. (A hét második felére ígérik a folytatást, amelyben azt kívánják elemezni, hogy a Twitter a színfalak mögött hogyan reagált a történtekre.)

Hacker Croll

Hirdetés

A huszonéves, jelenleg munkanélküli francia hacker sikerének hátterében semmiféle csoda, zsenialitás nem áll; azt csinálta, amit egy jó hacker szokott: türelmes volt, szánt rá bőven időt, eltökélt volt, s ehhez csak néhány alapvető, rég ismert technikát választott, melyek korántsem titkosak. A nagy trükk az volt az akció során, hogy felismert egy rendszerbeli gyöngeséget: míg a mai népszerű internetes szolgáltatások – az amerikai példát véve: Gmail, Google Apps, GoDaddy, MobileMe, AT&T, Amazon, Hotmail, Paypal és iTunes – önmagukban komoly védelemmel rendelkeznek a támadásokkal szemben, ám ha e szolgáltatásokat rendszernek tekintjük, kapcsolataikat elemezve hirtelen feltárul egy védtelen mező.

Hacker Croll első lépésként egy olyan módszert választott, amelytől – a biztonsági ügyekről szóló topikok tanulságai alapján – sajnos még az IT café hozzáértő olvasóinak egy része sem tart: miután célba vette a Twittert, az interneten teljesen nyilvános oldalak segítségével elkezdett profilokat készíteni a vállalat alkalmazottairól. Gond nélkül össze tudta gyűjteni az ilyen információkat: az illető neve, vállalati e-mail címe, beosztása, születési dátuma, háziállatainak neve és egyéb személyes adatokat. Majd ezeket rendszerezte a későbbi felhasználás céljából.

Ezek után jött a következő lépés, amikor megkereste azokat a belépési pontokat, ahol a már számba vett alkalmazottak használhatják a netet – nagy valószínűséggel az általa összegyűjtött adatokat alkalmazva. Két dolgot használt ki ezek után: a felhasználóktól a webes alkalmazások azonosítóként egy e-mail címet követelnek meg, illetve, hogy ehhez egy jelszót kell választani; s ezzel már meg is van a kulcs, hiszen az emberek hajlamosak arra, hogy azonos adatokkal dolgozzanak – még a professzionális IT-szakemberek egy része is. Az internet hőskorából származó „bizalmi tényező” pedig a legtöbb webes alkalmazásnál, szolgáltatásnál jelen van: szinte mindenütt megtalálhatóak az „elfelejtettem a jelszavam”-típusú opciók.

A Twitter sem kivétel, sőt. Ha a működését tekintjük, az egész cég online módon üzemel, ami azt jelenti, hogy az alkalmazottak munkájuk döntő részét, az adatmegosztást online, a hálózaton keresztül végzik, leginkább e-mailek segítségével. Ez a rendszer így egy lánccá épül fel, amelynek szilárdságát – ahogy a közhely tartja – a leggyengébb láncszem határozza meg. Hacker Croll dolga csak annyi volt, hogy megtalálja ezt a gyenge láncszemet.

Hogyan csinálta?

Találgatással rájött, hogy ki az, akinek az online viselkedése tipikus, nem tér el a felhasználók 98 százaléka által produkálttól. Az egyik alkalmazott esetében küldött a Gmailnek egy üzenetet, melyben élt a felkínált lehetőséggel, és új jelszót szeretett volna kérni. Ezt többször megpróbálta másoknál is, ám az áttörés mégis itt következett be. A fent említett esetben a Gmail honlapja arról értesítette, hogy új jelszavát elküldték a másodlagos („secondary”) e-mail címre, melyet így jelenített meg a szolgáltatás: ******@h******.com. Nem volt nehéz kitalálni, hogy ez egy hotmail-cím.

A hotmail esetében Croll újra az elfelejtett jelszó menühöz folyamodott – feltételezte, hogy az azonosító ugyanaz, amit már ismert. És ekkor borult a dominó. Az adott alkalmazott már rég nem használta ezt az e-mailt, ezért a hotmail – szabályzatának megfelelően – törölte a fiókot. Innen már egyszerű volt. Az azonosító alapján létrehozott egy új fiókot, majd újra lekérte a Gmailtől az elfelejtett jelszót, amit szépen meg is kapott az újonnan létrehozott hotmail-fiókba.

Tehát megvolt a hozzáférése az illető Gmail-fiókjához.

Ám az volt a gond (ez volt a legnagyobb kockázat, itt bukhatott volna le), hogy a fiók most új jelszóval működött, vagyis a tulajdonos nem tudta használni, de erre is talált egy ízlés szerint pofátlannak vagy szellemesnek nevezhető megoldást. Nem sokat kellett keresnie a levelek között, amikor ráakadt egy olyanra, melyben az alkalmazott egy másik webes szolgáltatásnál egy általa elfelejtett jelszó után érdeklődött, s kapott egy olyan levelet, amilyet már mindannyian: „Az ön azonosítója: Malacka, jelszava: Farkas1”. Ezek után jött a próba: a hacker kicserélte az új Gmail jelszót erre, amelyet a felhasználó más szolgáltatásoknál használt, hogy ellenőrizze, majd figyelt, hogy működik-e még tovább a fiók – s működött, a felhasználó nem vett észre semmit, tehát ugyanazt a jelszót használta, ahogy a hacker feltételezte.

Ezek után a megismert azonosítóval és jelszóval próbálkozott a nyilvánvaló, illetve feltételezett szolgáltatásoknál, amelyeket az illető igénybe vett. A legtöbb esetben azt tapasztalta, hogy be tud lépni, de ha a már ismert jelszó nem működött, újra bedobta az „elfelejtett jelszó”-módszert, és már meg is volt a keresett adat. És itt már nem is borult, hanem omlott a dominósor: hozzáfért az illető telefonos adataihoz, az amazonos vásárlástörténetéhez stb.

A TechCrunchnak írott levelében Hacker Croll igazi hackerként mutatkozott meg. Mint írta, semmiféle haszonszerzés nem motiválta, a lehetséges veszélyforrásokra kívánta felhívni a figyelmet.

Hirdetés

Fotóznál vagy videóznál? Mutatjuk, melyik okostelefon mire való igazán!

PR Vásárlás előtt érdemes megnézni, mit kínálnak az aktuális telefonok, ha igazán ütős képeket vagy profi mozgóképeket szeretnénk készíteni.

Azóta történt

Előzmények