Articoli

[AGGIORNATO x5] Violati 5 milioni di Account Google, ecco i dettagli!

Violati 5 Milioni di Account Google

Precisamente sono 4.929.090 gli Account Google Violati resi pubblici ieri sera alle 23:38 GMT-4 attraverso un Forum Russo dedicato ai BitCoin. In una discussione è stato pubblicato un archivio contenente eMail e relavite password come potete vedere dall’immagine di apertura di quasi cinque milioni di account Google. L’archivio che a dire dell’autore è stato recentemente aggiornato e più del 60% della password risultano veritiere, glli amministratori del forum hanno prontamente rimosso le password lasciando visibili esclusivamente gli indirizzi eMail per poter eseguire dei controlli personali e capire se la propria casella è stata violata o meno. L’archivio in questione è denominato google_5000000.7z (HASH MD5: 4ef74c48d1599802f5ef32c04852e764) ed è liberamente scaribabile da tutti. Sulla rete Torrent è invece già disponibile l’archvio originale contenete anche le password, questo archivio preferisco non pubblicarlo garantendo la sicurezza dei quasi 5 milioni di utenti.

 

Schermata 2014-09-10 alle 12.59.53

Concludo lasciandovi i consigli di Google per scegliere una password robusta e nel dubbio cambiate subito la password ed abilitate la verifica in due passaggi!

Se dovessero esserci ulteriori novità vi terrò aggiornati!

[AGGIORNAMENTO]

In molti mi segnalate che il Forum Russo risulta Down e quindi non è possibile scaricare l’archivio, ho quindi pensato di renderlo disponibile da una fonte alternativa. Potete scaricare il file clicando qui google_5000000.7z!

[AGGIORNAMENTO x2 x5]

Accedendo al sito internet https://isleaked.com/en.php è possibile inserire il proprio indirizzo di gMail e scoprire se fate parte del leak in questione, se fosse presente l’indirizzo il sito vi riporterà i primi due caratteri della vostra password. Il mio consiglio è comunque quello di NON sfruttare il sito internet in questione, piuttosto scaricatevi l’archivio che ho reso disponibile anche tramite una seconda fonte. È possibile che questo servizio sia stato creato appositamente per creare un elenco di eMail che verranno sfruttate chissà come (spam, phishing, ecc ecc). Un grazie a MyWeb per aver alimentato un po’ di sana paranoia 🙂

[AGGIORNAMENTO x3]

Nell’archivio pubblico o comunque in quello contenenete le password non sono presenti esclusivamenti indirizzi di posta elettronica @gmail.com ma son presenti anche 123224 eMail con estensione @yandex.ru che provengono sicuramente dal leak del 8 Settembre scorso, ma andiamo per ordine così posso mostrarvi dalla mia piccola analisi cosa ho rilevato:

drego85$ wc -l google_5000000.txt
4929090 google_5000000.txt

Il file come vi anticipavo dovrebbe contenere 4.929.090 eMail di Google ma successivamente decido di eliminare dall’elenco le porzioni di test non valide, prelevando esclusivamente le eMail

drego85$ fgrep @ google_5000000.txt -c
4927698

scopro conseguentemente che le eMail valide solo realmente 4.927.698 e me le salvo all’interno del file google_5000000_validemail.txt, proseguendo:

drego85$ grep @yandex.ru google_5000000_validemail.txt -c
123224

di esse però vi sono 123.224 eMail di @yandex.ru, le rimanenti eMail saranno tutte di Google?

 drego85$ sed -n -e ‘s:.*@::p’ google_5000000_validemail.txt | sort | uniq -c | sort -n -r
sed: RE error: illegal byte sequence
4723698 gmail.com
123224 yandex.ru
600 gmail.com777
335 gmail.com.vn
254 gmail.com.br
234 gmail.com.au
187 gmail.com7777
171 gmail.com.com
120 gmail.com.
95 gmail.comm
89 gmail.com_abuse
68 gmail.com|login
59 gmail.com
47 gmail.com.pl
44 gmail.com777777
43 gmail.comn
43 gmail.com77777
38 gmail.coml
37 gmail.com.ar
33 gmail.com.mm
31 gmail.com\r\n
29 gmail.com.my
27 gmail.com.sg
25 gmail.comq
24 gmail.coma
23 gmail.come
23 gmail.com.tw
23 gmail.com.mx
22 hotmail.com
21 gmail.com_xtube
19 yahoo.com
19 gmail.como
18 gmail.com.il
16 gmail.com`
16 gmail.com.in
15 gmail.com|googlemail}.com
15 gmail.comi
15 gmail.com,
15 gmail.com%
12 gmail.com1
11 gmail.comt
11 gmail.coms
11 gmail.comr
11 gmail.comj
11 gmail.com777777777
10 gmail.comk
10 gmail.com.tr
10 gmail.com.ph
10 gmail.com.hk

Bene scopriamo quindi che il file non è ancora perfettamente formattato, ma tralasciando questo dettaglio scopriamo che nell’archvio vi sono realmente 123224 di @yandex.ru e 22 eMail di @hotmail.com con le relative password. Ma mi balza all’occhio l’estensione _xtube che appartire a 21 account eMail quasi come se il creatore dell’archivio avesse voluto specificare la fonte degli indirizzi eMail in questione. XTube fa parte di una delle più grandi società di Pornografia online, detiene infatti la proprietà di YouPorn, ed è proprio YouPorn ad essere stato vittima di un attacco nel 2012 che esponeva le credenziali di accesso come vi riportai in questo articolo. Ho quindi deciso di analizzare le eMail contrassegnate con “Xtube”:

drego85$ grep @gmail.com_xtube google_5000000_validemail.txt | sort
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube

Gli archivi che avevo pubblicato nell’articolo sull’attacco a YouPorn purtroppo non sono più accessibili, ma cercando su internet ed usando l’archivio di Dazzlepod scopro che solo [email protected] appartiene al portale XTube ma non fa parte del Leak pubblicato nel 2012.

Onestamente speravo di aver trovato la fonte, o almeno parziale, di questo mega archivio di indirizzi Gmail e relative password…ma ho sbagliato strada! Scorro l’elenco manualmente e scopro che diverse email vengono espresse nel seguente formato: [email protected]. Un formato assolutamente anomalo perchè il carattere “+” viene spesso ignorato oppure usato per creare filtri personalizzati.

Allora analizzo meglio i risultati e tento di capire se dall’espressione “+sitointernet.estensione” posso ottenere qualche dettaglio in più, tramite il comando sed ottengo l’elenco dei nomi maggiornmente usati successivamente al + e antecedenti a @gmail.com. Poi inizio a contarli:

drego85$ grep +daz google_5000000_validemail.txt -c
213

drego85$ grep +xtube google_5000000_validemail.txt -c
196

drego85$ grep +savage google_5000000_validemail.txt -c
117

grep +filedropper google_5000000_validemail.txt -c
90

grep +daz3d google_5000000_validemail.txt -c
69

drego85$ grep +eharmony google_5000000_validemail.txt -c
65

Quindi è possibile, ma ovviamente non posso esserne sicuro, che tali eMail e relative password siano state sottratte dai siti in qestione (Daz, xTube, Filedropper, ecc) e memorizzate con la dicitura “+sito.estesione” per ricordarsi la fonte.

Concludo questo sito articolo confermando che a mio giudizio le password sono state sottratte tramite attacchi di Phishing oppure attraverso SQL Injection su siti non appartenenti a Gmail e quindi l’abitudine frequente di usare sempre una stessa password permette di accedere comunque all’indirizzo di posta elettronica fornito da Google.

[AGGIORNAMENTO x4]

Un’analisi similare alla mia che mostra altri aspetti e punti di vista l’ha condotta Diego Elio Pettenò in Inglese, vi invito a leggerla perchè è interessante.

For English readers, Diego Elio Petternò wrote in English an analysis similar to mine. Here you can read, it is interesting!

[AGGIORNATO] Google è il Prism dei poveri?!?

Google Spy

A Maggio 2012 in viaggio da Roma mi misi a discutere con la mia dolce metà su quanti dati Google colleziona dei propri utenti, il discorso prese piede dalla sua curiosità nel capire perché sempre più spesso vedeva inserzioni pubblicitarie attinenti ai suoi gusti o previsioni sulle ricerche sempre più esatte. Mi presi l’impegno di condividere anche con tutti i voi i dettagli che erano emersi in quella piacevole conversazione, infatti a Settembre sulla mia personale Timeline di Twitter ne ho discusso con due amici pubblicando una prima bozza dei dati che Google indicizza.

Sì, è passato più di anno, ma in tutta onesta mai mi son convinto a pubblicare un articolo principalmente a causa della grande glorificazione che Google è riuscita ad ottenere da parte del popolo di Internet. Bestemmiare in rete contro Google è ormai più grave che una bestemmia verso il creatore. Pertanto fin da subito metto ben in chiaro quel che andrò a scrivere nelle righe sottostanti, non parlerò a favore di Google e neanche voglio avere l’assoluta ragione; esprimerò una mia opinione e molto volentieri son disposto a confrontarmi con tutti voi.

Lo scrivo in questi giorni perché trovo l’argomentazione di questo articolo molto attinente agli ultimi scandali che hanno portato alla conoscenza del popolo il programma di spionaggio PRISM. Ho così sondato il terreno sempre su Twitter, scoprendo che il pensiero di un “Google spione” si stava allargando ed è veramente giunta l’ora di scrivere.

Google nasce nel Settembre ’97 come motore di ricerca, ma successivamente iniziò ad occuparsi anche di eMail e Social in tempi più moderni. Il suo successo, come motore di ricerca, è derivato da un prezioso algoritmo in grado di indicizzare milioni di siti internet in brevissimo tempo e riuscire a raccogliere ogni minimo dettaglio abbandonando quel antiquato schema di meta tag HTML. Tutto qui? No, la vera ciliegina sulla torta è stata l’introduzione delle “User Preference”, sistemata talmente importante da esser brevettato.

Continua a leggere

Un grazie ai nostri 1000 Fan!

Con Grandissimo piacere lo scorso 25 Ottob2 2012 abbiamo raggiunto i 1000 “Mi Piace” sulla  nostra pagina ufficiale di Facebook! È quindi doveroso ringraziarvi per il vostro supporto, per tutte le segnalazioni e consigli che quotidianamente ci date!

Ogni vostro messaggio è per noi un prezioso messaggio per migliorare il Blog e per mantenere alto il vostro interesse!

Continuate a seguirci tramite Facebook, Twitter, Google+, eMail o RRS!

Grazie!

,

GooDork – Linea di Comando per le Google Dorks

GooDork è uno script scritto in Python progettato per ricercare delle Dorks mediante Google sfruttando la comodità della linea di comando del vostro sistema operativo. Attraverso le Dorks di Google è possibile ricercare siti internet vulnerabili, documenti o file riservati.

Il software è facilmente scaricabile attraverso il comando GID:

$ sudo git clone https://github.com/k3170makan/GooDork

Sono però necessarie diverse dipendenze Python per poterlo far funzionare:

Un particolare punto di attenzione per  il pacchetto Beautiful Soup una volta scaricato e scompattato da linea di comando per installarlo digitate:

$ sudo easy_install beautifulsoup4

Infine per avviare GooDork basterà digitare:

$ sudo python GooDork.py [dork]

Il software permette inoltre di personalizzare la ricerca attraverso delle espressioni regolari con l’intento di ricercare la Dork nel testo visibile, nel titolo della pagina, in alcuni domini, ecc ecc.

Via | DarkNet

Pwn2Own 2012 – Google Chrome crollato al primo giorno!

Il Pwn2Own è una competizione tra Hacker che si svolge ogni anno in Canada, lo scopo di questa competizione è di trovare exploit all’interno di applicazioni in particolar modo i Browser e gli strumenti di uso quotidiano come gli Smartphone.

L’edizione del 2012 è iniziata il 7 Marzo 2012 e terminerà sabato venerdì 9 Marzo, con un amara sorpresa per l’imbattuto Chrome che aveva spinto Google ad offrire 1 milione di dollari al Team in grado di scovare una vulnerabilità nel Browser di Mountain View.

Dopo soli 5 minuti dall’inizio della competizione la squadra sponsorizzata dalla Vupen ha fatto crollare il Browser, l’infrangibile muro che ha visto sul podio per 3 anni di fila Chrome è così stato scalfito. Il team si poterà a casa una cifra attorno ai 60 mila dollari e accumula 32 punti per la competizione.

I dettagli dell’exploit non sono noti, ma il Team assicura di aver sfruttato esclusivamente vulnerabilità di Chrome senza appoggiarsi a risorse esterne. Le prime indiscrezioni parlano di un exploit nella SandBox che avrebbe consentito al team di eseguire un proprio codice malevolo.

Per qualsiasi altra novità sulla competizione rimanete collegati….

Abilitare i permessi di Root su Android ICS 4.0.3 e Nexus S

Lo scorso Venerdì 16 Dicembre 2011 Google ha rilasciato l’attesissima versione 4.0.3 di Android, ribattezzata Ice Cream Sandwich, per il Samsung Nexus S. Quest’ultimo è un telefono direttamente supportato da Google e pertanto riceve con maggiore priorità tutti gli aggiornamenti dell’OS Android.

In questo articolo vedremo come abilitare i permessi di Root nella ROM originale ICS, ricordo che i permessi di Rot servono ad ottenere il controllo completo del telefono ed a utilizzare determinate applicazioni (TorBot, Adfree, ClockWork Mod, ecc ecc).

Innanzitutto assicuriamoci di aver aggiornato alla versione 4.0.3 il nostro telefono, se tale aggiornamento non è ancora avvenuto potete seguire la guida disponibile sul sito de ilTrillo.com.

File Necessari:

Procedura

Nella procedura daremo per scontato che conoscete l’uso dell’Android SDK pertanto non verranno descritti i passi preliminari (installazione driver, ecc ecc) per tali indicazioni la rete è piena di HowTo e che il Nexus S abbia già il Boot Loader sbloccato.

  1. Copiamo il file root.zip nella memoria di massa interna al telefono;
  2. Spegnere il telefono;
  3. Avviare il telefono in modalità Boot Loader (Volume UP & Power);
  4. Collegare il Nexus al PC;
  5. Tramite riga di comando (nel PC) installiamo la Recovery ClockWork Mod attraverso il comando: “fastboot flash recovery recovery-clockwork-5.0.2.0-crespo.img“;
  6. Avviamo il Nexus in Modalità Recovery (Selezioniamo Recovery dal Bootloader attraverso i tasti del volume e premiamo Power per confermare);
  7. Si avvierà il telefono Modalità Recovery con ClockWork Mod;
  8. Selezioniamo “Install Zip From SDCard”;
  9. Selezioniamo “Toggle Signature Verification: Disabled”;
  10. Selezioniamo “Chose Zip from SdCard”;
  11. Selezioniamo il file “root.zip”;
  12. Selezioniamo il file “Yes – Install root.zip”;
  13. Riavviamo il telefono;
  14. Scarichiamo dall’Android Market l’applicativo Superuser;
  15. Avviare Superuser ed accedere alle impostazioni;
  16. Selezionare “Binario su 3.x.x.x – Tocca per cercare aggiornamenti” e seguire la procedura per aggiornare i file binari;
  17. Riavviare il telefono e buon root!

N.B. Non mi ritengo assolutamente responsabile di eventuali danni recati da tale procedura ogni utente la eseguirà a proprio rischio e pericolo.

Over Security su Google +

Vista la recente introduzione delle Pagine sul social network di Big G siamo ad annunciarvi la presenza di Over Security anche su Google Plus.

Da oggi potete seguirci sfruttando i seguenti canali:

Sfruttare i server di Google per lanciare un attacco DDoS

Il Team IHTeam ha rilasciato oggi un suo ritrovato nel quale viene riportata una tecnica per sfruttare i server di Google per lanciare attacchi di tipi DDoS (Distributed Denial of Service) verso qualsiasi servizio Web.

Il funzionamento è veramente semplice, attraverso Google Plus è possibile richiedere qualsiasi file per poi essere visualizzato sul famoso portale di Social Network. Pertanto se vengono inviate molteplici richieste è possibile attuare un attacco DDoS sfruttando i server di Google e la capacita della loro infrastruttura di rete, sicuramente non modica.

Le pagine vulnerabili sono “/_/sharebox/linkpreview/” e “/gadget/proxy?” ma quest’ultima farà risultare il vostro IP come richiedente mentre la prima si presenta nel server remoto con l’IP di Google come riportato nell’immagine sottostante.

Il vantaggio nell’utilizzare questa tecnica sono principalmente due:

  • Disporre di una infrastruttura di rete importante come quella di Google;
  • Anonimato garantito se le richieste provengono dal primo link associato ad una vostra connessione Tor o VPN.

Inoltre questa falla può essere usata per lanciare altri attacchi come un SQL Injection.

Di seguito vi riportiamo un video dimostrativo dell’attacco, lo script eseguibile da riga di comando per lanciare l’attacco ed un esempio pratico.

Video Guida

Script

http://pastebin.com/3qk47m9B oppure http://www.ihteam.net/advisories/_154785695367_+ddos.sh

Esempi Pratici

https://plus.google.com/_/sharebox/linkpreview/?c=<SITE>&t=1&_reqid=<RANDOM_NUMBERS>&rt=j
oppure
https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?url=<SITE>&container=focus

[VIDEO] Analisi Forense del sistema mobile Google Android

Vi riporto il video di una relazione di Raphaël Rigo, della French Network and Information Security Agency (ANSSI), nel quale descrive in maniera esaustiva come effettuare una analisi forense del sistema operativo Google Android.