J

eśli interesuje nas sprawdzenie daty utworzenia danego adresu e-mail (nie mylić z datą stworzenia konta) w protonmail – wystarczy skorzystać z API:

curl -q 'https://api.protonmail.ch/pks/lookup?op=index&search=admin@protonmail.com'

Odpowiedź typu:

info:1:1
pub:747752ef11868e4bfb4c0c3e9f832cbb57f25faa:1:2048:1461078056::
uid:admin@protonmail.com <admin@protonmail.com>:1461078056::

– oznacza, że dany adres e-mail istnieje, a 1461078056 znacznik czasu w formacie daty epoch. Wystarczy teraz wydać polecenie, które zamieni nam je na czas przyjazny człowiekowi: date -r 1461078056 (*BSD) / date -d @1461078056 (Linux) – Tue Apr 19 17:00:56 CEST 2016 / wtorek, 19 kwietnia 2016 17:00:56 GMT+02:00.

Odpowiedź typu:

info:1:0

– oznacza, że dany adres e-mail nie istnieje.

Jeśli zamienimy teraz operację “index”, na “get” będziemy w stanie pobrać publiczny klucz PGP konta e-mail:

curl -q 'https://api.protonmail.ch/pks/lookup?op=get&search=admin@protonmail.com' \ 
-o key.pgp

root@darkstar:~# gpg --list-packets key.pgp

# off=0 ctb=c6 tag=6 hlen=3 plen=269 new-ctb
:public key packet:
	version 4, algo 1, created 1461078056, expires 0
	pkey[0]: [2048 bits]
	pkey[1]: [17 bits]
	keyid: 9F832CBB57F25FAA
# off=272 ctb=cd tag=13 hlen=2 plen=43 new-ctb
:user ID packet: "admin@protonmail.com "

Lista serwerów ProtonVPN.Więcej informacji: ProtOSINT

J

ak możemy sobie przypomnieć atak typu TicketTrick II polega na wykorzystaniu źle skonfigurowanych grup Google. W celu praktycznego przykładu posłużę się jednym ze zgłoszeń, które powędrowało do zespołu Chromium. Żadne wielkie tajemnice nie zostały poznane, ani żadne wielkie restrykcje nie zostały złamane ponieważ:

To join Chromium’s Slack, the organization or person needs to be listed in Chromium’s AUTHOR file. If you have ever contributed a change or belong to one of the active contributor organizations you will be there. Anyone with a @chromium.org address can join directly. Others will have to follow an invite link that you get by mailing a request to chromium-slack-invites (at) chromium.org.

[ czytaj całość… ]

P

ierwszy wariant tego ataku opierał się na systemie zgłaszania i śledzenia błędów (np. Zendesk). W drugim wariancie przewiduje on użycie Google Groups. Wstępny scenariusz ataku został odkryty już w 2018 roku przez Kenna Security we współpracy z KerbsOnSecurity. Otóż błędna konfiguracja grup dyskusyjnych Google powoduje ujawnienie poufnych wiadomości e-mail od tysięcy organizacji, w tym niektórych firm z listy Fortune 500. Wpłynęło to na wiele branż: od agencji rządowych USA, szpitali i instytucji akademickich po media znanych stacji telewizyjnych i gazet.
[ czytaj całość… ]

J

akiś czas temu Inti De Ceukelarie odkrył lukę pozwalającą na przeprowadzenie ataku na przestrzeń nazw w postaci adresów e-mail. Wykorzystanie tego błędu pozwala na uzyskanie dostępu do wewnętrznych systemów, mediów społecznościowych lub wewnętrznej komunikacji atakowanej firmy. Ze względu na skalę błąd nadal jest aktualny dla wielu firm, a w swej prostocie jest bardzo prosty do wykonania.
[ czytaj całość… ]

P

ocztę e-mail kiedyś wysyłało się i odbierało w terminalu. Do dzisiaj czasami korzystam z takich programów jak mutt, czy alpine. Cała taka korespondencja jest wysyłana i odbierane przez serwer SMTP (ang. Simple Mail Transfer Protocol) Postfix. Problem w tym, że w standardowej konfiguracji odbiorca naszych wiadomości będzie w stanie zobaczyć ID naszego użytkownika w systemie:

Received: from stardust.nfsec.pl (unknown [17.197.105.219])
  by firewall.hes.trendmicro.eu (TrendMicro Hosted Email Security) with ESMTPS id 22E82
  for <abuse_the@int3rn3t.pl>; Sun, 10 Feb 2019 11:47:27 +0000 (UTC)
Received: by stardust.nfsec.pl (StarDustMX, from userid 666)
  id DD41460069; Sun, 10 Feb 2019 12:47:26 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
  by stardust.nfsec.pl (StarDustMX) with ESMTP id D60FD60068
  for <abuse_the@int3rn3t.pl>; Sun, 10 Feb 2019 12:47:26 +0100 (CET)

To samo tyczy się adresów IP komputerów w sieci wewnętrznej LAN, które mogą korzystać z takiego centralnego serwera pocztowego, czy też przypadku ukrywania się za CloudFlare, kiedy to musi zostać stworzony oddzielny serwer e-mail, aby oryginalny adres IP serwera web pozostał w ukryciu.
[ czytaj całość… ]

A

tak na przestrzeń nazw (ang. namespace attack) odnośni się do przejęcia kawałka lub całości przestrzeni nazw ofiary. Jeśli spojrzymy na internet jako całość to wszystkie jego byty są przestrzeniami nazw, które zajmują większe lub mniejsze kawałki w globalnej sieci. Najczęściej ataki te będą dotyczyć domen oraz adresów e-mail, które by być bardziej przyjaznymi używają adresów zrozumiałych dla użytkowników internetu, a dopiero potem zamieniają je na zrozumiałe dla urządzeń tworzących sieć komputerową.
[ czytaj całość… ]

Z

acznijmy od początku. Społecznościówki (Google+, Facebook, LinkedIn), e-banki, e-płatności, e-commerce, hotele itp. – wszystkie wymagają podania adresu e-mail. Do prawie wszystkich można zalogować się w klasycznym układzie typu: e-mail / hasło. Nie trzeba już wymyślać sobie kozackiego, jedynego nicku, ponieważ serwisy zaczynają traktować adresy e-mail jako unikatowe identyfikatory użytkowników z którymi w ten sposób mogą prowadzić “bezpieczną” komunikację. Wszechobecne dzielenie się adresem e-mail z technicznego punktu widzenia nie jest złe, ale na dłuższą metę powoduje kilka irytujących problemów – spam, poznanie Twojego loginu do poczty przy wycieku danych itd. Niektóre z nich można rozwiązać lub uczynić znacznie prostszymi za pomocą aliasów pocztowych.
[ czytaj całość… ]

A

ktualnie istnieje wiele otwartych sieci Wi-Fi, czyli tzw. Hotspotów. Problemem hotspotów jest częsty brak zapewnienia odpowiedniego szyfrowania i izolacji poszczególnych klientów. Dlatego w tego rodzaju sieciach najczęściej dochodzi do podsłuchiwania ruchu sieciowego, a tym samym przejęcia danych autoryzacyjnych do poczty, czy różnych serwisów społecznościowych lub bankowych, w których podczas trwania procesu uwierzytelniania – ruch między naszą przeglądarką lub klientem pocztowym, a serwerem nie zawsze jest (cały czas) szyfrowany.
[ czytaj całość… ]