List jednego z czytelników serwisu socjotechnika.net ujawnia ficzer wbudowany w dokumenty tworzone w pakiecie Microsoft Office, który umożliwia łamanie haseł, którymi te dokumenty są zabezpieczone…

E-mail grega:

Ponieważ Microsoft i bezpieczeństwo to pojęcia przeciwstawne, ostatnio naszła mnie wena na sprawdzenie, ile czasu zabierze mi złamanie arkusza Excela zabezpieczonego hasłem. Wujek Google pomógł również i tym razem, więc już po chwili dysponowałem makrem do łamania haseł. Byłem zaskoczony, że poradziło sobie ono z ustalonym hasłem w ciągu niecałych dwóch minut, ale to nie jest sednem całej sprawy.

Podejrzałem procedurę łamania hasła, okazało się nią zaledwie kilka linijek kodu z bardzo prostymi instrukcjami i zapętlonymi pętlą for/next (kopia na końcu listu). Zaciekawiła mnie ona (a w szczególności jej prostota) i postanowiłem zabezpieczyć kilkanaście arkuszy z hasłami o różnym stopniu skomplikowania i zacząłem je łamać.

Okazało się, że każde moje hasło niezależnie od jego długości i użytych znaków zostało złamane hasłem 12-znakowym, w którym pierwsze 11 znaków to kombinacja liter „A” i „B” jedynie 12. znak się zmieniał!

Co ciekawsze, zmieniłem wartości kodów ASCII w procedurze łamiącej tak, aby brała pod uwagę litery „C” i „D” oraz w kolejnej zmianie „E” i „F”. Hasła wygenerowane przez „łamacza” były analogiczne, czyli jedenastoznakowe ciągi odpowiednio C i D lub E i F oraz inny 12. znak.

Wnioski, które mi się nasunęły, stawiają lekko włosy na sztorc! Nieważne jak bardzo skomplikowane i ilu znakowe hasło założysz — i tak zostanie ono złamane za pomocą hasła 12-znakowego, w którym znasz znaki występujące na 11 pierwszych pozycjach (nie znasz jedynie ich kolejności) oraz zostaje poszukiwanie 12. znaku. Nie trzeba chyba mówić, że bardzo znacznie ułatwia i przyspiesza to znalezienie kombinacji odblokowującej arkusz.

Nie wiem czy jest to jakiś błąd Excela czy furtka pozostawiona celowo? Sprawdziłem to pod Excelem 2007 na kilkunastu plikach w formacie .xls oraz .xlsx. Niezależnie jednak od powodu istnienia tego, Microsoft po raz kolejny zakpił z pojęcia bezpieczeństwa.

Na koniec kopia makra służącego do łamania dowolnego hasła zabezpieczającego arkusz Excel – zarówno cały, jeden skoroszyt, możliwość edycji lub zakres komórek. Wystarczy wkleić je do repozytorium makr w Excelu, otworzyć plik, którego hasło chcemy złamać i uruchomić makro.

Sub PasswordBreaker()
'Author unknown but submitted by brettdj of www.experts-exchange.com

Dim i As Integer, j As Integer, k As Integer
Dim l As Integer, m As Integer, n As Integer
Dim i1 As Integer, i2 As Integer, i3 As Integer
Dim i4 As Integer, i5 As Integer, i6 As Integer

On Error Resume Next

For i = 65 To 66: For j = 65 To 66: For k = 65 To 66
For l = 65 To 66: For m = 65 To 66: For i1 = 65 To 66
For i2 = 65 To 66: For i3 = 65 To 66: For i4 = 65 To 66
For i5 = 65 To 66: For i6 = 65 To 66: For n = 32 To 126

ActiveSheet.Unprotect Chr(i) & Chr(j) & Chr(k) & _
Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) & _
Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
If ActiveSheet.ProtectContents = False Then
MsgBox "One usable password is " & Chr(i) & Chr(j) & _
Chr(k) & Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & _
Chr(i3) & Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
ActiveWorkbook.Sheets(1).

Select
Range("a1").FormulaR1C1 = Chr(i) & Chr(j) & _
Chr(k) & Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & _
Chr(i3) & Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
Exit Sub
End If
Next: Next: Next: Next: Next: Next
Next: Next: Next: Next: Next: Next

End Sub

Nie, nie jest to pomyłka, Amazon w odpowiedzi na pytanie o bezpieczeństwo takich transakcji odpowiada z rozbrajającą szczerością:

Our ordering system is not set up to accept the credit card validation (CVV2) security code associated with credit cards. I hope this will not prevent you from completing your order on Amazon.co.uk. If your bank requires that the CVV2 code be submitted for online purchases, you will need to use a different credit card or payment method.

Czyli w bardzo swobodnym tłumaczeniu: to nie nasz problem synku, to twoja wina, że chcesz być bardziej zabezpieczony przed kradzieżą własnych pieniędzy lub nieautoryzowanym użyciem twojej karty. Jeśli twój bank wymaga podawania kodu CVV2 przy zakupach on-line, to… musisz zmienić bank (lub przynajmniej użyć innej karty)!

Biorąc pod uwagę rozmiar Amazon.com i ilość transkcji dokonywanych każdego dnia, można się aż za głowę chwycić, skąd taka piramidalna ignorancja. Dla średniej klasy socjotechnika zdobycie numeru karty, nazwiska jej właściciela i terminu ważności np. przez telefon to dziecinna igraszka! Nie musi nawet oglądać owej karty na oczy. O ile zdecydowana większość użytkowników poczuje przynajmniej wątpliwości, jeśli ktoś poprosi ich o podanie kodu CVV2, o tyle zdobycie tych informacji, które są wymagane w Amazon.com do autoryzacji transakcji płatniczej to socjotechniczne przedszkole!

Podejście Amazon.com w tej materii po prostu przeraża i brakuje słów, by je skomentować!

Wydawać by się mogło do tej pory, że tak żenująca forma reklamowania się jest domeną stron internetowych o niskiej jakości i wątpliwej pozycji w sieci. Dostępna tylko w mało znanych, niepewnych systemach reklamowych. Okazuje się jednak, że taką formę reklamy dopuszczają na swoje strony nawet firmy takiego formatu jako Orange.

Na stronie bramki SMS dało się zauważyć dziś taką właśnie reklamę:

Orange wspiera spammerów!

Ponieważ — jak zostało powiedziane — tego rodzaju reklamy są oszustwem i służą jedynie gromadzeniu adresów e-mail, na które następnie w ilościach hurtowych są rozsyłane reklamy, można śmiało stwierdzić, że portal Orange wspiera spammerów i oszustów. Piękny element budowania marki!

Prezentowana reklama prowadzi do strony w domenie najszybszy-wygrywa.pl, znanej z tego rodzaju praktyk. Co ciekawe, przechodząc na stronę główną tego serwisu i klikając kilka razy Odśwież w przeglądarce, można zobaczyć w sumie kilkanaście komunikatów o unikalnej szansie wygrania nagrody (albo bezpowrotnym utraceniu takiej szansy, przy zamykaniu okna lub przechodzeniu na inną stronę).

Za każdym razem komunikat jest ten sam. Znowu jesteś ten  jeden, jedyny. Znowu masz hiper-szczęście.

Znowu otrzymałeś niepowtarzalną okazję sprzedania swojego spokoju i adresu e-mail być może do tej pory wolnego od reklam w zamian za nieistniejącą nagrodę. Zmieniają się tylko cyferki, czyli godzina o której użytkownik stronę odwiedził (tudzież odświeżył). Ta super szczęśliwa godzina…

P.S.: Wpis znalazł się również w kategorii Kradzież tożsamości, bo w niej będą umieszczane artykuły na temat SPAMu, który według wielu jest formą kradzieży tożsamości.

Orange: Ostrzeżenie o próbie wyłudzenia informacji

Technika phising, którą stosują autorzy ataku socjoinformatycznego przed którym Orange ostrzega, ma już wiele lat historii i wydawać by się mogło, że nie ma już dość naiwnych, którzy nabiorą się na tak proste oszustwo. Powtarzające się jednak ciągle tego rodzaju ataki oraz próby ostrzegania przed nimi świadczą jednak o tym, że jest inaczej.

Uwaga! Ten profil jest MARTWY! Trzymam go jedynie, żeby nikt się pode mnie nie podszył. Nie korzystam z NK, nie sprawdzam poczty. Moi prawdziwi znajomi znają mój e-mail lub telefon i kontaktują się ze mną w ten sposób!

Dość interesujące podejście do tematu socjoinformatyki, kradzieży tożsamości i ochrony własnej prywatności. Co o tym sądzicie?

Tym razem numer 75068 i przypadek o tyleż ciekawy, że wykorzystywana jest socjoinformatyka w postaci dość zbliżonej do phisingu.

Oto zgłoszenie użytkownika Bipik:

Tlen.pl: Kolejna próba wyłudzenia pieniędzy

Celem jest wyłudzenie pieniędzy, a nie prywatnych danych, o co zwykle chodzi w phisingu. Stosowany jest podobny mechanizm — oddziaływanie strachem. Ponieważ jednak ostatecznie owe prywatne dane i tak zwykle służą do wyłudzenia pieniędzy, więc w zasadzie na jedno wychodzi.

Przykre jest to, że operator sieci Tlen.pl nie musiałby specjalnie wysilać się, by łatwo zapobiec co najmniej połowie tego rodzaju oszustw. Wystarczyłoby stworzyć słownik zwrotów wykorzystywanych w takich wyłudzeniach (np. „administrator” właśnie) i napisać prosty skrypt, który informowałby faktycznych administratorów sieci o każdym założeniu konta zawierającego frazę ze słownika w nazwie. Następnie takie „podejrzane” konta byłyby monitorowane.

Łatwo dałoby się wówczas wychwycić, że są one zakładane w celu co najmniej podejrzanym choćby przez to, że nikt na takie konto nigdy nie loguje się ani z poczty, ani z komunikatora. Są to de facto martwe konta, bo chyba nikomu nie trzeba tłumaczyć, że wysyłanie czegokolwiek zgodnie z podawanymi przez oszustów instrukcjami zawsze trafia w „próżnię”.

Jeszcze łatwiej byłoby zablokować w ogóle możliwość zakładania kont z takimi newralgicznymi zwrotami w loginach. Bo i po co komuś, kto nie ma zamiarów przestępczych adres e-mail typu administratorXX@tlen.pl?

Niestety, te tak oczywiste i całkiem proste do wdrożenia działania prewencyjne nie przyszły na myśl zarządzającym siecią Tlen.pl i na efekty nie trzeba było długo czekać. Na samym tylko socjotechnika.net trzy zgłoszenia w ciągu ledwie miesiąca. Przeszukując pod tym kątem sieć pewnie znalazłoby się ich znacznie, znacznie więcej…

Po pierwsze, zastanawiające jest, że reporterzy wspomnianego radia popełnili przestępstwo i nikt jakoś nie zwrócił na to uwagi. Podawanie się za kogoś, kim się nie jest, czyli typowa socjoinformatyka, to przestępstwo ścigane z urzędu i zagrożone karą kilku lat więzienia. Mimo tego, że reporterzy chwalili się popełnieniem tego przestępstwa regularnie przez cały dzień co godzinę lub pół (w każdym wydaniu radiowego serwisu informacyjnego), absolutnie nikt (ani sami zainteresowani, odpowiednie władze) nie zainteresował się faktem, że mamy to do czynienia z działaniem karygodnym, karalnym i takim, które należy napiętnować, a nie nim się chwalić.

Po drugie natomiast, jeżeli popularne radio rozpoczyna każde wydanie swojego dziennika tą samą wiadomością (w nielicznych przypadkach podawaną, jako druga) to zdaje się, że nie ma chyba o czym mówić. Ileż można słuchać o tym samym (z resztą, mało chwalebnym czynie) i jak długo reporterzy radia zamierzają liczyć na cierpliwość swoich słuchaczy? Dołóżmy do tego zestaw identycznych reklam (najczęściej reklamujących pigułki i inne suplementy diety), dosypmy powtarzany przez prowadzących chyba z dwieście razy w ciągu doby slogan o trwającym (niezmiennie od miesięcy!) konkursie radiowym oraz — najważniejsze! — ograny do bólu repertuar nie więcej niż pięćdziesięciu piosenek, powtarzanych po dwa razy dziennie, niezmiennie od miesięcy i mamy obraz całości, który prowadzi do dość smutnych wniosków. Radio, które kiedyś zaskakiwało świeżością, pomysłowością i oryginalnością spsiło się tak bardzo, że wprost nie da się go słuchać.

Bodajże pierwsze i największe niegdyś radio Polski doszło obecnie do takiego poziomu, że wielu słuchaczy zastanawia się czy oni tam przypadkiem nie cierpią na fenomenalne wprost braki gotówki? Czym innym bowiem tłumaczyć ograną listę piosenek (brak kupowania praw do nowych), mało ciekawe, a wręcz nudne, jak flaki w oleju wiadomości (brak pieniędzy na pensje porządnych dziennikarzy) oraz klepany w kółko ten sam konkurs (brak pieniędzy i pomysłów na coś oryginalnego). Naprawdę, aż żal człowieka ściska…

Poczta Polska promuje kradzież tożsamości! :)

Na plakacie ładna blondynka, a w ręku trzyma dowód osobisty mężczyzny! Co prawda, jakość fotografii jest słaba, ale kto był niedawno w jakiejkolwiek placówce Poczty Polskiej i widział reklamę Kredytu Raz Dwa, ten wie, o co chodzi! :)