BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Sitefinder de Verisign no respeta nuestra privacidad

undertow

Como todos sabreís verising ha creado un fabuloso nuevo servicio, sitefinder, que redirige a una web de verising cualquier dominio inexistente que se ponga.

Se acaba de mandar un mail a la lista de bugtraq que cuenta un "fallo"en sitefinder; primero os pongo la traducción y después el mail original.

Traducción:

Acabo de descubrir que verising site finder esta enviado datos desde su sitio sitefinder a la empresa que tiene de marketing ( omniture )- Los formularios pueden fácilmente contener informacion personal. Para que esto ocurra la web tiene que usar el metodo GET. Estos problemas se pueden producir si una pagina web de cualquier site de Internet envía un formulario web a una dirección erronea o expirada. El formulario entonces se enviará a sitefinder de verising. Sitefinder pasará los datos recibidos a omniture.

El mail tiene más cosas pero eso es lo principal, aquí abajo os dejo el mail íntegro en inglés.

Hi, I just discovered that VeriSign's SiteFinder Web site is leaking data submitted in Web forms to its marketing analysis partner, Omniture. Forms can easily contain personal information such as an email address. For the problem to occur, a Web form must use the GET method. This data spill problem occurs if a Web page anywhere on the Internet submits a Web form to an action URL with a misspelled or expired domain name. Because of VeriSign's recent controversial changes to the DNS system, this form data is submitted to the SiteFinder Web site. SiteFinder in turn passes the form data along to Omniture in the URL of a Web bug. The Web bug is constructed on the fly by about 50 lines of JavaScript code embedded in the SiteFinder home page. This data spill problem raises legal questions because of possible violations of the VeriSign privacy policy and of the Electronic Communications Privacy Act (ECPA). As a point of comparison, it appears that Microsoft went out of their way to not receive form data with their Smart Search feature. In my experiments, Smart Search is not enabled for Web form action URLs with misspelled or expired domain names. Instead, Internet Explorer gives a generic 404 error page. Here's an example form that illustrates the problem: /cgi-bin/subscribe.pl" method=get>

And here's what the URL of Omniture Web bug looks like with an email address from the form in it: (link roto)
-S/s07262928512095?[AQB]&ndh=1&t=23/8/2003%2016%3A6%3A20%202%20240&pageN
ame=Landing%20Page&ch=landing&server=US%20East&c1=www.atypodomainthatism
isdirectedbyverisign.com/cgi-bin/subscribe.pl%3Flist%3Dhorsebreeding%26a
mp%3Bemail%3D&c2=www.atypodomainthatismisdirectedbyverisign.com/cgi-bin/
subscribe.pl%3Flist%3Dhorsebreeding%26amp%3Bemail%3D%20%2800/00%29&c3=ww
w.atypodomainthatismisdirectedbyverisign.com/cgi-bin/subscribe.pl%3Flist
%3Dhorsebreeding%26amp%3Bemail%3D%20%28DYM%29&c12=No&c13=00&c14=No&c15=0
0&c16=Yes&c17=15&c22=NOT%26%2332%3BSET&g=http%3A//sitefinder.verisign.co
m/lpc%3Furl%3Dwww.atypodomainthatismisdirectedbyverisign.com/cgi-bin/sub
scribe.pl%253flist%253Dhorsebreeding%2526email%253D%26host%3Dwww.atypodo
mainthatismisdirectedbyverisign.com&s=1024x768&c=32&j=1.3&v=Y&k=Y&bw=101
6&bh=530&ct=lan&hp=N&[AQE].
Some relevant links are:
Data spills in banner ads
(link roto)
SiteFinder privacy policy
(link roto)
Omniture privacy policy
adobe.com/experience-cloud.html
Omniture company overview
adobe.com/experience-cloud.html
Electronic Communications Privacy Act
(link roto)
Court draws a line for online privacy
news.com.com/2100-1029-1001081.html
Richard M. Smith
ComputerBytesMan.com

Y no solo verising hace sus "chapucillas" con formularios web, con el correo también, en bugtraq comentan:

<i>More naughty Verisign deeds...

I don't know if this has been mentioned, but any mis-addressed email to a non-existent domain will reveal the sender AND intended recipient to a conveniently placed Verisign SMTP server where it can (and probably is) being tracked.

For example, an email sent to user@yyaahhoo.com (non existent domain) generates the following error:

----- The following addresses had permanent fatal errors -----
<user@yyaahhoo.com>
(reason: 550 <unknown[xx.xx.xx.xx]>: Client host rejected: The domain you are trying to send mail to does not exist.)

----- Transcript of session follows -----

... while talking to yyaahhoo.com.:
>>>>>> DATA

<<< 550 <unknown[xx.xx.xx.xx]>: Client host rejected: The domain you are
trying to send mail to does not exist.
550 5.1.1 <user@yyaahhoo.com>... User unknown
<<< 554 Error: no valid recipients

Verisign does NOT reject the connection until AFTER the MAIL FROM: and
RCPT TO: fields have been communicated by your email server. See the
following transcript as evidence:

TELNET YYAAHHOO.COM 25

220 sitefinder.verisign.com VeriSign mail rejector (Postfix)
mail from:source@yahoo.com
250 Ok
rcpt to:user@yyaahhoo.com
550 <unknown[198.252.172.254]>: Client host rejected: The domain you are
trying
to send mail to does not exist.

They could (AND SHOULD) REJECT from the initial connection, but instead
ALLOW the TO and FROM fields of the SMTP negotiation to happen.

This means that they can easily harvest the SOURCE email address field
for marketing purposes (no typos there), and would have a strong
educated guess of the correct domain of the mistyped TARGET.

Bad, verisign. Very bad.

-Mark Coleman</i>

💬 Comentarios

BocaDePez
BocaDePez
🗨️ 1
JoeDalton

... cuando el demonio está ocioso... mata las moscas con el rabo...

anthrax

porque por ejemplo los "emilios" cuyo destino este mal escrito tambien iran a parar a Verisign ...

Saludos

🗨️ 6
BocaDePez
BocaDePez

Si la mitad de los usuarios de internet fueran tecnicos se habrian descuvierto mas de un entuerno ke sufrimos a diaroio y de lo cual no somos conscientes pero bueno has cosas ke nunca cambian

Risky

Hola, en contestación a tu post, y que alguien me corrija si me equivoco, los servidores de correo si no encuentran el dominio te lo devuelven y dan un error de host no encontrado.

Esto podría ser para el tema del modo "Get" que se ha dicho antes osease formularios de web.

Saludos

🗨️ 4
BocaDePez
BocaDePez

los servidores web tambien te devuelven un mensaje si el dominio no existe, ahora no, ahora te llevan a Verising, lo mismo pasa con el correo.

🗨️ 3
Risky

El Servidor de correo no los guarda.

El proceso es preguntar a las DNS por el dominio en cuestión, si lo encuentra, se dirige al server donde está el dominio, seguidamente valida y comprueba el usuario destinatario y si es todo válido lo manda si no lo devuelve, es decir tu servidor de correo no manda nada hasta que no hace la consulta y verifica que todo es válido.

Saludos.

🗨️ 2
jlop

Buenas, los correos que van a dominios inexistentes (al menos .com y .net) SÍ pasan por VeriSign:
[...] El proceso es preguntar a las DNS por el dominio en cuestión...
¡He ahí el problema! Con esta chapuza de VeriSign cualquier dominio existe (de nuevo aclaro, .com y .net) aunque no esté registrado. Si no está registrado, se redirige al sitefinder aquel.
Por ponerte el caso práctico, suponte que escribes un correo a hostquenoexistenienbroma.com. Está claro que no existe, ¿no?
Pero maravillas de VeriSign, que si lo intentas resolver, sí que resuelve, a la IP del Sitefinder de VeriSign:

$ host hostquenoexistenienbroma.com
;; Truncated, retrying in TCP mode.
hostquenoexistenienbroma.com has address 64.94.110.11

$ host 64.94.110.11
11.110.94.64.in-addr.arpa domain name pointer sitefinder-idn.verisign.com.

Ahora bien, ponte en el caso del servidor de correo. Va, resuelve el DNS del dominio (existe, la IP es de la de verisign sitefinder) y al no tener registro MX (que no tiene, eso no) usa la IP de la resolución 'hostquenoexistenienbroma.com', y adivina a dónde va a parar el correo...

Espero haber sido bastante gráfico, y que haya servido para darnos cuenta de que VeriSign nos tiene casi controlados.

Un saludín.

🗨️ 1
Risky
garlekin

cualquier web rara te lleva a verisign.

y yo me pregunto.... como se le cede los derechos de todos los dominios inexistentes a una empresa privada? acaso los ha comprado todos? le habran costao un paston.... aver.... infinitos dominios a 35$ anuales.... hacen..... coño, infinito! XPPP

acaso no era internet libre y esas cosas? o eso era en el mundo real? q yo recuerde, antes cuando escribias un dominio inexistente (sin pertenecer a los especuladores de dominios) te salia el tipico error 404 pagina no encontrada, no? cagonputa....

por cierto, cuando actualicen el error podriais avisar asi vuelvo a meter datos en las webs XPPP

bye

🗨️ 2
Cthulhu

A veces te lleva a la susodicha pagina de verisign y a veces a la de microsoft, la que pone lo de abajo. ¿Alguien sabe por qué?

No se puede encontrar "www.popopopoa.com"
Puedes intentarlo de nuevo escribiendo la dirección URL en la barra de direcciones a continuación.
O buscar en Web:
Ir a MSN Search para ver todos los resultados de "www.popopopoa.com".

Más información acerca de este error.
Acerca de los resultados
Ofrecido por (link roto) MSN Search

©2003 Microsoft Corporation. Reservados todos los derechos. Condiciones de uso Declaración de privacidad aprobada por TRUSTe

🗨️ 1
pitxilimax

Cuando en tu explorer metes una URL incompleta, el browser llama al buscador cutre de MSN para que te busque la web. Por ejemplo cuando te falta el http://. Salu2

undertow

The concerns expressed thus far are just the canonical tip of the

iceberg, considering the services running on sitefinder-idn.verisign.com.

PORT STATE SERVICE

23/tcp filtered telnet

25/tcp open smtp

79/tcp filtered finger

80/tcp open http

161/tcp filtered snmp

162/tcp filtered snmptrap

514/tcp filtered shell

Imagine how much fun one could have if, say, port 23 was suddenly

unfiltered; or if port 22 were opened; or if Verisign got really tricky

and opened up port 443 with a specially-crafted "wildcard" SSL certificate

implementation (maybe a stretch...but Verisign *is* a CA, no?).

The system as it presently functions is already ripe for abuse.

There is no question of that. But imagine the quantity and quality of

abuse that will occur when (not if) the system residing on 64.94.110.11

gets 0wn3d by someone who answers to no-one.

I think now would be a good time to null route all traffic to and

from 64.94.110.0/24 until Verisign grows a conscience and terminates this

abomination.

- -Jay

( ( _______

)) )) .-"There's always time for a good cup of coffee"-. >====
C|~~|C|~~| (>----- Jay D. Dyson -- jdyson@treachery.net -----
`--' `--' `- Life is hard. Even harder if you're stupid. -' `------'

jcastizo25

Simplemente añadir
127.0.0.1 sitefinder.verisign.com
a fichero HOSTS de c:\WINDOWS

🗨️ 8
undertow

mucho mejor que eso es banear sus direcciones ip.
64.94.110.0/24

🗨️ 7
Cthulhu

Podrian explicar un poco mejor lo del host. Evitaria tambien que los correos enviados a un dominio inexistente pasasen por verisign.

Gracias

garlekin

Haciendo ping a sitefinder.verisign.com [12.158.80.10] con 32 bytes de datos:

Haciendo ping a www.verisign.net [65.205.249.60] con 32 bytes de datos:

creo q no son los q has puesto....

🗨️ 5
undertow

pon un nombre de dominio inexistente con ese rango baneado y dime si aparece el site de sitefinder.

🗨️ 3
undertow

o haz por ejemplo un ping a dsjdfsjhkfjfdskfdkfdjlkfsd.com y mira que ip aparece

🗨️ 2
ndb
🗨️ 1
undertow

creo que no soy yo el que tiene que revisar las ips