Tobbszor kerestek mar meg engem olyan dolgokkal, hogy "jaj, jack, tord mar fel ennek a baromnak az adatlapjat a majvipen", vagy "jaj, jack, el kell olvasnom a csajom mailjeit, ugye segitesz?". Termeszetesen ilyenkor a valaszom egy rovid "nem" volt. A user ilyenkor nem hagyja annyiban, megkerdezi, miert nem, en meg kezdhetem a magyarazatot: nem er meg par ev bortont, kulonben sincs annyi penze. Egyszer egy csajnak viccbol mondtam egy 500 euros arat, mar nem emlekszem pontosan, mire. Termeszetesen annyiert sem vallaltam volna.
Viszont az elgondolkodtam rajta, hogy hogy meg tudnam-e csinalni. Tegyuk fel, hogy egy freemail-postafiokot kell tornom. Azt vallom, hogy minden rendszer leggyengebb eleme az ember, tehat eloszor is social engineeringgel probalkoznek. Elso lepes, hogy felmerjuk a terepet. 5 perc alatt regeltem mailcimet Nagy Bela neven, es megtudtam egy csomo lenyeges dolgot. Peldaul 5 es 8 karakternek kell lenni a jelszonak, betuket, szamokat es egyeb irasjeleket kell tartalmaznia es kozepes erossegunek kell lennie. Kozepes erossegu attol lesz a jelszo, ha nem csak betuket tartalmaz, vagy meg van 7 karakter. Bodri1 jelszot adtam meg neki. Jelszoemlekeztetonel meg lehet adni egy masodlagos mailcimet is, aminek az ertelmere nem tudtam meg rajonni, ugyanis ha van, akkor sem kuldi el a jelszot, csak jelszot valtoztathatok, ha tudom a valaszt a biztonsagi kerdesre. Megtudtam meg azt is, hogy lehet a jelszoval megegyezo valaszt hasznalni a jelszoemlekezteto kerdesre. Azt hiszem, ez egy kisebb biztonsagi res is lehet akar, ugyanis eleg sokan igy oldjak meg a dolgot.
Raklikkelek az elfelejtettem a jelszot linkre, es tegyuk fel, a biztonsagi kerdes igy szol: "Mi a kutyam neve?" Mostmar johet is a social engineering akar. Megszerzem az alany valamilyen elerhetoseget, lehetoleg IM-et (MSN, Skype, ICQ, stb.). Ha nekem nincs ilyen, feltelepitem, regisztralok, es felveszem ot. Ismerkedni kezdek vele, fel ora mulva terelem a szot az allatokra.
"Van haziallatod?"
"Igen, van egy kutyam, meg egy aranyhalam."
"Nagyszeruuu, imadom a kutyusokat. Nekem is van egy nemetjuhaszom, Rexnek hivjak. Neked milyen kutyad van?"
"Skot juhasz, Bodri a neve."
Valoszinuleg megfogtuk, freemail login-proba. Bodri nem kozepes jelszo, ez nem fog neki tetszeni. Viszont megprobalhatjuk a Bodrika, Bodri1, stb. dolgokat. Bodri1-el be is tudtunk lepni. Ha itt nem jon be, akkor johet a jelszoemlekezteto. Megprobaljuk szinten a Bodrit, viszont 6 karakter kell jelszoemlekeztetobe. Probaljuk meg a Bodri1-et, Bodrikat ismet, stb. Ha sikerrel jartunk, jelszot valtoztatunk, es belepunk. Ha van masodlagos mailcim beallitva, nincs gond, kuldunk egy freemailesnek kinezo levelet egy php-s mail() fuggvennyel, ahol szepen meg tudjuk adni, hogy a level feladoja pl. noreply@freemail.hu legyen, es kozoljuk vele, hogy meg kellett valtoztatni a jelszavat biztonsagi okokbol.
Ha nincs masodlagos mailcim, akkor lekerhetunk mashonnan egy jelszoemlekeztetot (ha tudjuk, hogy elkuldik a regit, es nem ujat adnak), valoszinuleg ugyanazt a jelszot hasznalja a freemailnel is az illeto, visszaallitjuk, es eszre sem vette az alany a dolgot. Ha pedig egyik sem jon ossze, akkor jelszoemlekeztetovel visszaallitja, csak ez nem szep munka, mert ugye eszrevette, mi tortent. Persze beallithatunk egy automatikus tovabbkuldest, hogy kesobb ne kelljen visszamasznunk, ez viszont kockazatos, tehat mindenkeppen egy teljesen uj, fake-cimre kell, hogy menjenek ezek a mailek, ne deruljon ki, kik vagyunk.
Ez egy teljesen elmeleti megoldas, nem allitom, hogy a gyakorlatban is mukodne, viszont kerek mindenkit, aki ert az ilyen dolgokhoz, kommentaljon, es javitsa ki a hibaimat.
Nem biztatok senkit arra, hogy ezt veghezvigye, ugyanis eloszoris nagyon nem szep dolog mas mailjeit olvasni, masodszor pedig teljesen illegalis. Nem azert irtam, hogy valaki kiprobalja, viszont remelem, aki olvassa, nem fog beleesni ebbe a hibaba, es gyorsan kijavitja a jelszoemlekeztetojet :) ha pedig gyanus, hogy feltortek a fiokjat, jelszot valtoztat, es megnezi, nincs-e automatikus tovabbkuldes. Vigyazzatok ezekkel, mert ha egy postafiokba be tud jelentkezni egy idegen, az onnantol kezdve szinte barhova mashova is!
