×Закрыть

Возможно, Ваш LinkedIn уже взломали?

Какое-то время назад близкий мне человек (далее по тексту V, for Victim), узнал, что к его аккаунту на LinkedIn получил доступ посторонний (здесь и далее T, for Trespasser). Для V всё началось с электронного письма следующего содержания:

Пароль был изменен и доступ к аккаунту восстановлен. Кроме внезапно изменившегося пароля, V не смог обнаружить следов других нежелательных действий в своем LinkedIn-аккаунте. V предполагает, что T получил доступ к аккаунту намного раньше, и достаточно длительное время скрытно следил за действиями V. Загадкой остается лишь, зачем T, в конечном итоге, понадобилось менять чужой пароль.
Однако, вернемся к письму, точнее к содержащимся в нем данным. Нам известен IP-адрес злоумышленника, а также предполагаемый браузер и ОС на компьютере T. В обратной DNS зоне для этого адреса ничего нет, а whois говорит, что подсеть принадлежит харьковскому отделению ДатаГруп. Вспомнив, с каких устройств, и из каких мест он обычно заходил в LinkedIn, V начал думать о ком-то из (бывших) работодателей.
Попробуем сузить круг подозреваемых.

[root@cherry ~]# nmap -A -T4 176.102.62.252

Starting Nmap 6.47 ( http://nmap.org ) at 2015-06-04 22:39 EEST
Warning: 176.102.62.252 giving up on port because retransmission cap hit (6).
Nmap scan report for 176.102.62.252
Host is up (0.042s latency).
Not shown: 984 closed ports
PORT     STATE    SERVICE        VERSION
22/tcp   open     ssh            OpenSSH 5.3 (protocol 2.0)
|_ssh-hostkey: ERROR: Script execution failed (use -d to debug)
25/tcp   filtered smtp
80/tcp   open     http           Apache httpd 2.2.15 ((CentOS))
| http-methods: Potentially risky methods: TRACE
|_See http://nmap.org/nsedoc/scripts/http-methods.html
|_http-title: Apache HTTP Server Test Page powered by CentOS
88/tcp   open     kerberos-sec   Heimdal Kerberos (server time: 2015-06-04 19:41:01Z)
111/tcp  open     rpcbind        2-4 (RPC #100000)
| rpcinfo:
|   program version   port/proto  service
|   100000  2,3,4        111/tcp  rpcbind
|   100000  2,3,4        111/udp  rpcbind
|   100024  1          48315/udp  status
|_  100024  1          48825/tcp  status
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
389/tcp  open     ldap           (Anonymous bind OK)
445/tcp  filtered microsoft-ds
464/tcp  open     kpasswd5?
593/tcp  filtered http-rpc-epmap
636/tcp  open     ssl/ldap       (Anonymous bind OK)
| ssl-cert: Subject: commonName=BU-DC1.devcodin.local/organizationName=Samba Administration
| Not valid before: 2014-04-10T20:55:24+00:00
|_Not valid after:  2016-03-10T21:55:24+00:00
|_ssl-date: 2015-06-04T19:42:39+00:00; 0s from local time.
1024/tcp open     kdm?
3268/tcp open     ldap           (Anonymous bind OK)
3269/tcp open     ssl/ldap       (Anonymous bind OK)
| ssl-cert: Subject: commonName=BU-DC1.devcodin.local/organizationName=Samba Administration
| Not valid before: 2014-04-10T20:55:24+00:00
|_Not valid after:  2016-03-10T21:55:24+00:00
|_ssl-date: 2015-06-04T19:42:39+00:00; 0s from local time.
3389/tcp open     ms-wbt-server  Microsoft Terminal Service
Aggressive OS guesses: HP P2000 G3 NAS device (93%), Infomir MAG-250 set-top box (92%), Ubiquiti AirMax NanoStation WAP (Linux 2.6.32) (92%), Linux 2.6.32 - 3.10 (91%), Linux 3.3 (91%), Linux 2.6.32 (91%), Linux 2.6.32 - 3.1 (91%), Linux 3.7 (91%), Netgear RAIDiator 4.2.21 (Linux 2.6.37) (91%), Linux 3.1 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 8 hops
Service Info: OS: Windows

TRACEROUTE (using port 256/tcp)
HOP RTT      ADDRESS
1   0.96 ms  192.168.10.1
2   ...
3   38.94 ms 10.80.21.114
4   ...
5   42.26 ms ae20-771.m25.kharkov.datagroup.ua (80.91.160.118)
6   47.97 ms 176.241.104.122
7   ...
8   44.01 ms 176.102.62.252

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 189.09 seconds

Очень похоже на какой-то Linux, выполняющий функции шлюза и контроллера домена Active Directory (Samba4). Очень интересен CN указанный в SSL-сертификатах для LDAP- «BU-DC1.devcodin.local». DevCodin (а так же AppCodin и WebCodin) — именно в такой транскрипции, без «g» на конце, представляет себя заказчикам харьковская IT компания Riff Point (jobs.dou.ua/companies/riff-point, riffpoint.com/, откуда V уволился некоторое время назад.

Как правило, AD контроллер отвечает на запросы rootDSE без авторизации. Попробуем, и снова видим DevCodin:

[root@cherry ~]# ldapsearch -h 176.102.62.252 -p 3268 -b "" -s base '(objectClass=*)'
# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectClass=*)
# requesting: ALL
#

#
dn:
configurationNamingContext: CN=Configuration,DC=devcodin,DC=local
defaultNamingContext: DC=devcodin,DC=local
rootDomainNamingContext: DC=devcodin,DC=local
schemaNamingContext: CN=Schema,CN=Configuration,DC=devcodin,DC=local
subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=devcodin,DC=loca
 l
supportedCapabilities: 1.2.840.113556.1.4.800
supportedCapabilities: 1.2.840.113556.1.4.1670
supportedCapabilities: 1.2.840.113556.1.4.1791
supportedCapabilities: 1.2.840.113556.1.4.1935
supportedCapabilities: 1.2.840.113556.1.4.2080
supportedLDAPVersion: 2
supportedLDAPVersion: 3
vendorName: Samba Team (http://samba.org)
isSynchronized: TRUE
dsServiceName: CN=NTDS Settings,CN=BU-DC1,CN=Servers,CN=Default-First-Site-Nam
 e,CN=Sites,CN=Configuration,DC=devcodin,DC=local
serverName: CN=BU-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Config
 uration,DC=devcodin,DC=local
dnsHostName: BU-DC1.devcodin.local
ldapServiceName: devcodin.local:bu-dc1$@DEVCODIN.LOCAL
currentTime: 20150604194325.0Z
supportedControl: 1.2.840.113556.1.4.841
supportedControl: 1.2.840.113556.1.4.319
supportedControl: 1.2.840.113556.1.4.473
supportedControl: 1.2.840.113556.1.4.1504
supportedControl: 1.2.840.113556.1.4.801
supportedControl: 1.2.840.113556.1.4.801
supportedControl: 1.2.840.113556.1.4.805
supportedControl: 1.2.840.113556.1.4.1338
supportedControl: 1.2.840.113556.1.4.529
supportedControl: 1.2.840.113556.1.4.417
supportedControl: 1.2.840.113556.1.4.2064
supportedControl: 1.2.840.113556.1.4.1413
supportedControl: 1.2.840.113556.1.4.1413
supportedControl: 1.2.840.113556.1.4.1413
supportedControl: 1.2.840.113556.1.4.1413
supportedControl: 1.2.840.113556.1.4.1413
supportedControl: 1.2.840.113556.1.4.1339
supportedControl: 1.2.840.113556.1.4.1340
supportedControl: 1.2.840.113556.1.4.1413
supportedControl: 1.2.840.113556.1.4.1341
namingContexts: CN=Schema,CN=Configuration,DC=devcodin,DC=local
namingContexts: CN=Configuration,DC=devcodin,DC=local
namingContexts: DC=devcodin,DC=local
namingContexts: DC=DomainDnsZones,DC=devcodin,DC=local
namingContexts: DC=ForestDnsZones,DC=devcodin,DC=local
supportedSASLMechanisms: GSS-SPNEGO
supportedSASLMechanisms: GSSAPI
supportedSASLMechanisms: NTLM
highestCommittedUSN: 3635
domainFunctionality: 2
forestFunctionality: 2
domainControllerFunctionality: 4
isGlobalCatalogReady: TRUE

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

В письме от LinkedIn также сообщалось, что T использует OS X. V вспоминает, что во время его работы в RiffPoint, MacBook (или iMac) использовало всего три человека. Один из них — директор компании.

PS. Мне достоверно известно, что V удалил keyring и все профили во всех браузерах на своем рабочем компьютере в свой последний день работы в Riff Point. Просто удалил, никаких secure wipe и аналогов. В конце концов, государственных тайн там не было.

👍НравитсяПонравилось0
В избранноеВ избранном0
LinkedIn

Похожие топики

Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Вроде бы программисты не бедные люди, а купить личный карманный компьютер, чтобы на нём делать личные дела, находясь на работе, не могут. O_O

Улыбнуло ) Вроде взрослые люди.... Дело по всей видимости было так: Жил был девелопер Василий и работал он в IT конторе программистом. А по сколько времени было много: он лазил постоянно на линкедине под корпоративным впном, как и многие его коллеги. Место работы Василий сменил, а вот адрес электронной почты для доступа в линкедин оставил. И вот однажды его сосед по бывшей конторе ( далее по тексту S) решил сменить свой пароль. И те кто юзал дивную вэпээнину под личным мылом получили письма о том что сменили пароль. Те кто был под вэпээном сразу раскусили, что это S сменил пароль, а у тех кто сменил работу пропал сон и начали они параноить по этому поводу. It`s known issue. Should be closed ))

А у меня вообще трафик по воздуху не шифрованный летает :`(

Мораль: linkedin на рабочем месте вызывает подозрения и непреодолимое желание совершить преступление. Не провоцируем, товарищи, ревнивцев!

Возможно, у V был один и тот же пароль как на корпоративные ресурсы на прошлом месте работы, так и на линкедин, и пароли на серверах конторы хранятся в открытом виде

Мой пароль — мой член. Даже если знаешь где он, использовать себе дороже.

V нужно включить 2 factor auth для своего эккаунта на linkedin: help.linkedin.com/.../answers/detail/a_id/544

Мне кажется, подчинённый пароль в данном случае удобнее. Не знаю, поддерживает ли такое LinkedIn.

чото странное:
1. у линкедина https, мб поюзали sslstrip или V успешно проигнорил предупреждения о сертификатах? тогда ССЗБ
2. мб взломали почту, а не линкедин? восстановление пароля работает только через почту. что за почтовый пров?
3. мб V не очистил личные данные с компа перед увольнением? тогда ССЗБ
4. торчащий наружу самба сервер — это что-то дикое

Ну, тут к гадалке не ходи. Последнее рабочее место, без вариантов.

Поскольку ЛинкедИн — достаточно серьёзная сеть, а не развлекательная, пусть директор не удивляется, что его однажды просто закажут. Люди есть разные, и к репутации многие относятся крайне серьёзно. Такие действия людьми квалифицируются как предательство, как топор в спину.

Никогда не ломайте и не используйте чужие эккаунты, даже ради шутки. Кроме случая когда вы всерьёз решили пойти на преступление. Потому что разбираться с вами будут как с преступником. А учитывая что государство в этих вопросах не помощник, рассчитывать что меры пресечения будут гуманными — не стоит.

В случае если лицо занимает высокую должность в организации — ничего не стоит обвалить нахрен репутацию организации, рассказав её клиентам, а также работникам (в том числе будущим) о практике компании использования чужих данных в своих интересах.

Если это был не директор — тем хуже для него, что у него под носом такое творится.

В нормальных странах компании пришлось бы решать вопрос уже с адвокатами. И уж адвокаты бы подождали, пока моральный ущерб развернёт себя во всей красе. В частности, имитировали бы диалог от имени рекрутера, записали бы всё «хорошее» — и уже тогда в суд.

Рекомендую именно это и проделать — имитировать диалог от рекрутера, невзначай спросить с кем можно ещё переговорить из компании. Чей контакт якобы V подскажет — и будет виновник торжества. Естественно, пообщаться в письменном виде, и тогда уже принять меры — настолько адекватные, чтобы виновный больше никогда и нигде не нашёл работу.

В нормальных странах компании пришлось бы решать вопрос уже с адвокатами.
Да ладно, в какой-то сети взломали пасс... Какой тут состав преступления ?

Если V — любитель одного пароля на все случаи жизни, то на месте V я бы заёрзал на стуле.

Подписаться на комментарии