SoN-KraL
04-20-2007, 09:57 PM
Senaryo-Gerçek 0lay????
Son günlerde bazi RUS hackerlar aldiklari kararla toplu MSN hack yapmaya başladilar....! HAtta bazı arkaslarimiz aynen anlattığına göre birileri MSN listlerine giriyor ,ufak konusmadan sonra herif msn list ini makinasinin IP sini soyluyor bizimkileri tehdit edip sifresini kırıyor we ayriliyor....! Üstüne üstlük bu olaylar sadece 2-3 dakika içinde oluyor...!Arkdaslarin söylediklerine görede ne fake mail v.s. gibi birsey gelmis nede dosya paylasimi yapmislar...........!!!!!
Böyle BirSey Olabilir Mi?
Her zaman dediğim gibi "impossible is nothing" in yaninda bir arastirma yaptim...!Burdaki göreceginiz ögreneginiz seyler aslinda yarimyamak bildiginiz ama önemsemediğiniz seylerden birisi...! Hadi başlayalim :~)
Ruslari Taniyalim????
Rus lari bilirsiniz Cyber bazinda hepsi ii birer uygulamacidir "söze dikkat!" sadece uygulamaci yani Script Kiddie kisacasi lamerdirler...!Kısacasi acigi ögrenip 1000 de 1 ihtimalde olsa uygularlar...!Onların bu özelliğini daha ii özetlemek gerekirse Bolu dagindan gecen İstanbul otabının yapimi öncesi (hani su İst-Ank 3 saaate indirecek yol) Bizmkiler nerdeyse vazgecek iken ,disaridan Rus we Ukrayna li mühendisler getirtmisler we inceletmisler Bolu dagini yarip otoyol olusturmak gercekten zordu ama inkansiz degildi bir rus mühendis in sözü "1 mm de ilerleyemiyor mu?" kisacasi onlarin uygulamaci karakterlerini anlatiyor...!
Bilgisayar ortaminda da Vlademir Levin in Citibank tan 1998 yıllarinda 10.000.000$ üzerinde bu hipotezi daha da güçlendiriyooo...!!! Neyse bende amma cok geyiq yaptim konuya gecelim dagitmadan!!!!!
Olayi kurgulayalim????
Bu olayı duyduktan sonra biraz arastirma yaptim...!Nasıl olabilir di ki......! HerkeZ windows ortamindaydi ama farkli farkli isletim sürümlerini kullaniyorlardi...!!!Kisacasi sistemin aciklarini sömürmeleri biraz zordu....!!!Ya MSN acigi yada bu platformlarin ortak aciklari olmaliydi....!!!
Msn de kiselerin listemizde olmasi we karsilikli konumamiz bile yeteri kadar acik oldugunu yazimizda görecegiz...!
0lay????
1E -postalarimizi bulmalari: Ruslar cesitli msn profilllerimizin kayıtlı oldugu msn sayfalari yada aram motoralrindan e posta adreslerimizi buluyorlardi...Bu cok kolay bi is 12-13 yasindaki bebeler bile yapar :~)
2.IP lerimizi ögrenmeleri:Bizim rus lamer listeye girdikten sonra ip mizi cmd den netstat -n cekip yada netstat -na (tü baglantilari portlarla listeler) yada daha acisibaglantilari dinleyen lamer tool lerle hallediyordu...
2.a Eğer bir proxy yada wingate v.s. kullaniyosak ip izi bulamayacaktir.Bunun için ya dosya gönderecek (o zaman direkt ip yi görür) yada ip izi descripte etmeye calisacaktir..Kimimiz msn proxy tool leri kullaniyoruz ki bendeki bile ispanyolca bağlanti için é-cafe tercih edersem tamamen korumasizim..1 :~)
3.Sifremizi Kırmasi:İste en önemlisi herkezin sifresi registriy de Hkey_Current_UserSoftwareMicrosoftMessengerServ icePasswordMSN Messenger Service anahtari altinda saklanir ama encrypte edilmistir yani cözülmeden okunamaz........!Bunun için Sitedeki Linkleri Sadece Üyelerimiz Görebilir.. gibi bir program ile sifrenin okunmaz halini kendi bilgisayarinda cozecektir.Yada bazi sitelerde msnpwd.cgi lerde hash koyup eger önceden eklenmisse 30 sn içinde sifreyi okur...! Ewet ewet artik md5 i bile bu tür sitelerde bulabiliriz...!
4.Listemizi okumasi:Bizim lamer eğer listemize girmisze kendi bilgisayarinda ’HKEY_CURRENT_USERSoftwareMicrosoftMessengerS er viceListCache.NET Messenger Service’ bu anahtara gidip kendi kontak kurdugu kubanin(bizikiler) nick ine tıklar yine encripte edilmistir ama cift tıkladiginda herifin kurbaninin tüm engelli izinli kisi listesini görür...! Sasirmayin ne oldu!!!! Bu bi arkasainizin üzerinde deniyebilrsiniz....!
5.Tel No Listesini Almak:Eger herif yeni ortaya cikan msn 7.0 acigi yada Netbios gibi paylasimlar la sizin bilgisayariniza girebilirse Regedit ten Ağ kaydina Bağlan a tıklayıp sizin pc nin İp sini yazar yine ’HKEY_CURRENT_USERSoftwareMicrosoftMessengerS er viceListCache.NET Messenger Service’ anahtara gelip sizin
PHH (home telephone number) Ev telefon nosu
PHM (mobile telephone number) Cep telefonu nosu
PHW (work telephone number) İş telefonu nosu gibi kisi listesini ekleme özelliklerini kullaniyosaniz bilgileri ele gecirebilir...!
6.MsN List: Konuyla ilgili degil ama size bilgisayarimizdaki Msn i kimlerin kullandigi ile ilgili listenin nerde kayit edildigini wermek istedim.Hkey_Current_UserSoftwareMicrosoftMessenge rServ iceListCache.Net Messenger Service
7.Net ve Network Pass:Haa bu arada yeri gelmiskende soylemeden gecemedim WinXP de .NET(msn in işletim sistemine login için ilişkilendirilmis hali) we Network Pass lari ilk login den sonra hafizaya alir ve Documents and Settings<User Name>Application DataMicrosoftCredentials<User SID>. altinda saklar.Bazi arkadaşlarin kullandigi IM Pass Recovery yada Network Pasword Recovery gibi programlar bu anahtari yoklayip bulurlar...!(Bilrisiniz Cached olayiii)
DikkaT: Ben burda bildigim %100 calisan acikla nasil MsN saldirisi yapilacagini anlattim.Burada her sistemde olan aciklara deyindim...!Özellikle MsN sürümleri we diger aciklara deyinmedim
Son günlerde bazi RUS hackerlar aldiklari kararla toplu MSN hack yapmaya başladilar....! HAtta bazı arkaslarimiz aynen anlattığına göre birileri MSN listlerine giriyor ,ufak konusmadan sonra herif msn list ini makinasinin IP sini soyluyor bizimkileri tehdit edip sifresini kırıyor we ayriliyor....! Üstüne üstlük bu olaylar sadece 2-3 dakika içinde oluyor...!Arkdaslarin söylediklerine görede ne fake mail v.s. gibi birsey gelmis nede dosya paylasimi yapmislar...........!!!!!
Böyle BirSey Olabilir Mi?
Her zaman dediğim gibi "impossible is nothing" in yaninda bir arastirma yaptim...!Burdaki göreceginiz ögreneginiz seyler aslinda yarimyamak bildiginiz ama önemsemediğiniz seylerden birisi...! Hadi başlayalim :~)
Ruslari Taniyalim????
Rus lari bilirsiniz Cyber bazinda hepsi ii birer uygulamacidir "söze dikkat!" sadece uygulamaci yani Script Kiddie kisacasi lamerdirler...!Kısacasi acigi ögrenip 1000 de 1 ihtimalde olsa uygularlar...!Onların bu özelliğini daha ii özetlemek gerekirse Bolu dagindan gecen İstanbul otabının yapimi öncesi (hani su İst-Ank 3 saaate indirecek yol) Bizmkiler nerdeyse vazgecek iken ,disaridan Rus we Ukrayna li mühendisler getirtmisler we inceletmisler Bolu dagini yarip otoyol olusturmak gercekten zordu ama inkansiz degildi bir rus mühendis in sözü "1 mm de ilerleyemiyor mu?" kisacasi onlarin uygulamaci karakterlerini anlatiyor...!
Bilgisayar ortaminda da Vlademir Levin in Citibank tan 1998 yıllarinda 10.000.000$ üzerinde bu hipotezi daha da güçlendiriyooo...!!! Neyse bende amma cok geyiq yaptim konuya gecelim dagitmadan!!!!!
Olayi kurgulayalim????
Bu olayı duyduktan sonra biraz arastirma yaptim...!Nasıl olabilir di ki......! HerkeZ windows ortamindaydi ama farkli farkli isletim sürümlerini kullaniyorlardi...!!!Kisacasi sistemin aciklarini sömürmeleri biraz zordu....!!!Ya MSN acigi yada bu platformlarin ortak aciklari olmaliydi....!!!
Msn de kiselerin listemizde olmasi we karsilikli konumamiz bile yeteri kadar acik oldugunu yazimizda görecegiz...!
0lay????
1E -postalarimizi bulmalari: Ruslar cesitli msn profilllerimizin kayıtlı oldugu msn sayfalari yada aram motoralrindan e posta adreslerimizi buluyorlardi...Bu cok kolay bi is 12-13 yasindaki bebeler bile yapar :~)
2.IP lerimizi ögrenmeleri:Bizim rus lamer listeye girdikten sonra ip mizi cmd den netstat -n cekip yada netstat -na (tü baglantilari portlarla listeler) yada daha acisibaglantilari dinleyen lamer tool lerle hallediyordu...
2.a Eğer bir proxy yada wingate v.s. kullaniyosak ip izi bulamayacaktir.Bunun için ya dosya gönderecek (o zaman direkt ip yi görür) yada ip izi descripte etmeye calisacaktir..Kimimiz msn proxy tool leri kullaniyoruz ki bendeki bile ispanyolca bağlanti için é-cafe tercih edersem tamamen korumasizim..1 :~)
3.Sifremizi Kırmasi:İste en önemlisi herkezin sifresi registriy de Hkey_Current_UserSoftwareMicrosoftMessengerServ icePasswordMSN Messenger Service anahtari altinda saklanir ama encrypte edilmistir yani cözülmeden okunamaz........!Bunun için Sitedeki Linkleri Sadece Üyelerimiz Görebilir.. gibi bir program ile sifrenin okunmaz halini kendi bilgisayarinda cozecektir.Yada bazi sitelerde msnpwd.cgi lerde hash koyup eger önceden eklenmisse 30 sn içinde sifreyi okur...! Ewet ewet artik md5 i bile bu tür sitelerde bulabiliriz...!
4.Listemizi okumasi:Bizim lamer eğer listemize girmisze kendi bilgisayarinda ’HKEY_CURRENT_USERSoftwareMicrosoftMessengerS er viceListCache.NET Messenger Service’ bu anahtara gidip kendi kontak kurdugu kubanin(bizikiler) nick ine tıklar yine encripte edilmistir ama cift tıkladiginda herifin kurbaninin tüm engelli izinli kisi listesini görür...! Sasirmayin ne oldu!!!! Bu bi arkasainizin üzerinde deniyebilrsiniz....!
5.Tel No Listesini Almak:Eger herif yeni ortaya cikan msn 7.0 acigi yada Netbios gibi paylasimlar la sizin bilgisayariniza girebilirse Regedit ten Ağ kaydina Bağlan a tıklayıp sizin pc nin İp sini yazar yine ’HKEY_CURRENT_USERSoftwareMicrosoftMessengerS er viceListCache.NET Messenger Service’ anahtara gelip sizin
PHH (home telephone number) Ev telefon nosu
PHM (mobile telephone number) Cep telefonu nosu
PHW (work telephone number) İş telefonu nosu gibi kisi listesini ekleme özelliklerini kullaniyosaniz bilgileri ele gecirebilir...!
6.MsN List: Konuyla ilgili degil ama size bilgisayarimizdaki Msn i kimlerin kullandigi ile ilgili listenin nerde kayit edildigini wermek istedim.Hkey_Current_UserSoftwareMicrosoftMessenge rServ iceListCache.Net Messenger Service
7.Net ve Network Pass:Haa bu arada yeri gelmiskende soylemeden gecemedim WinXP de .NET(msn in işletim sistemine login için ilişkilendirilmis hali) we Network Pass lari ilk login den sonra hafizaya alir ve Documents and Settings<User Name>Application DataMicrosoftCredentials<User SID>. altinda saklar.Bazi arkadaşlarin kullandigi IM Pass Recovery yada Network Pasword Recovery gibi programlar bu anahtari yoklayip bulurlar...!(Bilrisiniz Cached olayiii)
DikkaT: Ben burda bildigim %100 calisan acikla nasil MsN saldirisi yapilacagini anlattim.Burada her sistemde olan aciklara deyindim...!Özellikle MsN sürümleri we diger aciklara deyinmedim