dinsdag 4 september 2012

Stembreker.nl de sleutel tot een coup!

Pats boem daar is G500, de nieuwe partij met leider Sywert van Lienden en zijn trouwe volgelingen die hevig worden geënthousiasmeerd door Sywerts jeugdige fanatisme. En hoewel er al jaren wordt gediscussieerd over digitale stemcomputers pleurt Sywert even een app online die gaat bepalen wat jij gaat stemmen!
En ja, dat allemaal via jouw browser thuis, via zijn app, in zijn database en via zijn algoritme dat even gaat bepalen wat jij moet gaan stemmen! Tja, vertrouwen, dat hebben we wel in Sywert.

Laat ik even dit als eerste zeggen, mensen als Sywert hebben we nodig. Daardoor maken we namelijk sprongen vooruit. Waar men al jaren discussieert over digitaal stemmen voert Sywert het gewoon even eigenhandig in. Gewoon, omdat hij het tijd daarvoor vind, en hij er zijn stemmen mee wint. Want waar vallen stemmen te winnen? Juist, achter dit beeldscherm waar deze lettertjes op verschijnen.

Enfin, you win some, you lose some. Hieronder de haken en ogen aan deze applicatie.

De applicatie gebruikt HTTPS verkeer, which is good! Echter verschuilt de applicatie zich achter CloudFlare (En is daardoor natuurlijk niet terug te vinden *kuch* *kuch* 31.*.103.144). Mooi spul dat CloudFlare, alleen voor een SSL oplossing biedt het slechts één mogelijkheid. En dat is een klassieke Man in the Middle oplossing. (Hieronder afgebeeld).



Het verkeer tussen CloudFlare en de Client wordt versleuteld, echter ontsleuteld CloudFlare het om de inhoud te kunnen bekijken. En dat is waar een probleem zich voordoet. CloudFlare heeft dus de beschikking tot álle data die via de applicatie verstuurd wordt, het kan deze inzien én manipuleren. Als CloudFlare het kan, dan kan de Amerikaanse overheid het helemaal, willen we zoiets?

Gelukkig loopt het verkeer vanaf CloudFlare richting de server in Nederland wel weer via SSL, de "Full SLL" optie die CloudFlare biedt, zoals hieronder te zien is:


Daarnaast is men 1 ding vergeten, en dat is dat de website ook gewoon bereikbaar is via poort 80, zonder SSL dus. Dit biedt uiteraard enkele handigheidjes om in te breken op de server, onder andere:

De webmail:


De phpMyAdmin:


En nog een webmail:


En nóg een webmail:


Daarnaast wordt het stemadvies met een smsje verstuurd. En een smsje kunnen we natuurlijk gewoon spoofen!

Dat er enigszins is nagedacht over de beveiliging moeten we natuurlijk niet vergeten, zo wordt er gebruik gemaakt van een telefoonnummer en een wachtwoord. Daarnaast verschijnt er een captcha, wat computer gestuurde registratie onmogelijk maakt (en laten we voor het gemaak de captcha oplossende chinezen even vergeten) als laatste moet een op het mobieltje verschenen code ter verificatie worden ingevoerd. Veiligheidsmaatregelen die een doel lijken te dienen.

Maar wat de ontwikkelaars dan precies met al deze pagina's aan het doen zijn? https://stembreker.nl/test.php
https://stembreker.nl/login_form/
https://stembreker.nl/export/
https://stembreker.nl/temp/
https://stembreker.nl/phpMyAdmin/changelog.php
https://stembreker.nl/heartbeat/
https://stembreker.nl/config/
https://stembreker.nl/advies/
En laten we deze maar helemaal vergeten:
Enfin, verstopt achter CloudFlare, dus hierbij de portscan van de server 31.*.103.144 wat natuurlijk 'gewoon' een random ip is... ;)
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp closed smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s

Nu is dit natuurlijk flink wat gebash tegen deze app. Maar dat maakt het hele idee niet minder interessant! Mensen als Sywert zijn een verrijking voor de samenleving, en zonder dit soort types blijven we compleet stil staan. Sywert, thumbs up!

Ps.
Ook props natuurlijk voor Paul, Richard en Daniel voor de mooie app!

9 opmerkingen:

  1. Mooie analyse.
    Nog even wat extra info over Cloudflare:
    Cloudflare heeft geen safe harbour status volgens de EU. Je mag dus geen persoonsgegevens doorgeven aan Cloudflare en zeker geen bijzondere persoonsgegevens (zoals politieke voorkeur).

    Disclaimer: Ik ben geen jurist en heb een paar nuances bewust weggelaten.

    BeantwoordenVerwijderen
  2. Thank you for awesome writeup. It if truth be told used to be an amusement account it. Also Check: yowhatsapp & gbwhatsapp.

    BeantwoordenVerwijderen
  3. Deze reactie is verwijderd door de auteur.

    BeantwoordenVerwijderen
  4. ATM-kaart voor een tijdje en ik heb er nooit echt interesse in getoond vanwege mijn twijfels. Micharel, hij is echt goed in wat hij doet. Terug naar het punt, vroeg ik naar The Blank ATM Card. Als het werkt of zelfs bestaat. Ze hebben te horen gekregen dat ze kunnen worden gebruikt voor gratis geldaankopen. Dit was schokkend en ik had nog steeds mijn twijfels. Daarna probeerde ik het en vroeg om de kaart en stemde in met hun algemene voorwaarden. In de hoop en bidden was het niet nep. Een week later ontving ik mijn kaart en probeerde met de dichtstbijzijnde pinautomaat dicht bij mij, het werkte als magie. Ik kon me terugtrekken naar $ 5000. Dit was ongelofelijk en de gelukkigste dag van mijn leven met mijn vriendin Laurel. Tot nu toe heb ik tot $ 78.000 kunnen opnemen zonder enige stress om betrapt te worden. Ik weet niet waarom ik dit hier plaats, ik voelde gewoon dat dit degenen zou kunnen helpen die financiële stabiliteit nodig hebben. lege ATM heeft echt mijn leven veranderd. Als je contact met ze wilt opnemen, is hier het e-mailadres (micharelatmhacker@gmail.com). bel en whatsapp hem +18508008129 En hij kan je ook helpen.

    BeantwoordenVerwijderen
  5. HACK ATM EN WORD VANDAAG RIJK WORDEN

    U kunt zonder geld bankieren en inbraak in de bankautomaat van een bank

    geweren of elk wapen. Hoe is dit mogelijk? Allereerst moeten we leren

    over het handmatig hacken van ATM-MACHINES en BANKREKENINGEN EN HOE DE ATM

    MACHINE WERKT. Als je naar de bank bent geweest, kom je erachter dat het geld binnen is

    de ATM MACHINE wordt gevuld in het huis waar de machine zich bevindt

    gebouwd met voldoende beveiliging. om deze machine te hacken We hebben de special ontwikkeld

    lege ATM-kaart die u overal ter wereld in een geldautomaat kunt gebruiken. deze

    kaart is geprogrammeerd en kan 5000 binnen 24 uur in om het even welk

    valuta waar uw land gebruik van maakt, is er geen ATM MACHINES deze LEGE ATM

    KAART KAN NIET erin doordringen omdat deze met verschillende is geprogrammeerd

    tools en software voordat het naar u wordt verzonden. De kaart maakt de

    beveiligingscamera storing op die bepaalde tijd totdat u klaar bent met

    de transactie die u nooit kunt traceren. het heeft ook een techniek die maakt

    het is onmogelijk voor de CCTV's om je te detecteren, er zijn zoveel andere hackers

    daar die beweren echt te zijn, moet je heel voorzichtig zijn, dat kunnen ze nooit

    maak deze kaart alles wat ze willen is jouw geld. geen pinautomaat kan dat

    trek elke dag 50.000 usd terug die niet mogelijk is, waarbij je de kaart krijgt die je wilt

    stuur het bedrijf uw adresgegevens door, zodat we door kunnen gaan met het verzenden van de kaart

    aan u zodra u akkoord gaat met de algemene voorwaarden. u kunt contact met ons opnemen op

    email nu naar americapressblankatmcard@gmail.com
    Tel: + 1702-536-2668

    DE BESTE MANIER OM GOED BEDRAG TE HEBBEN OM EEN GOED BEDRIJF TE STARTEN OF TE BEGINNEN
    EEN GOED LEVEN LEVEN

    BeantwoordenVerwijderen
  6. Great Article. We have shared to amazing Apps known as
    YoWhatsapp
    and GBWhatsapp
    for Android Phone. You can download it for our blog.

    BeantwoordenVerwijderen
  7. Amazing Article sir, Thank you for giving the valuable Information really awesome.

    Thank you, sir

    Cheers!

    WHATSAPP GROUP JOIN LINK LIST

    BeantwoordenVerwijderen
  8. TESTIMONY TESTIMONY TESTIMONY Hello friends!!! My name is Jeff Chandler. I want to testify of the good Loan Lender who showed light to me after been scammed by 3 different Internet international lender, they all promise to give me a loan after making me pay a lot of fees which yield nothing and amounted to no positive result. I lost my hard earn money and it was a total of $1,000.00. One day I was browsing through the internet looking frustrated when I came across a testimony of a woman who was also scammed and eventually got linked to a legit loan company called mr peter Loan Company and where she finally got her loan, so I decided to contact the same loan company and then told them my story on how I have been scammed by 3 different lenders who did nothing but to cause me more pain. I explain to the company by whattsApp (+2349063879939) you can also Email the company on their Email Address on (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and all they told me was to cry no more because I will get my loan in their company and also I have made the right choice of contacting them. I filled the loan application form and proceeded with all that was requested of me and to my greatest astonishment I was given a loan amount of $580,000.00 US Dollars at a very low interest rate of 4% by this great Company. if there is anyone who is also in need of an urgent loan should kindly whattsapp this great loan company offers on (+2349063879939) or kindly email them. (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) managed by mr peter loan a God fearing man and here I am today happy because this company has given me a loan so I made a vow to my self that I will keep testifying on the internet on how I got my loan. Do you need a loan urgently? kindly and quickly contact This great company now for your loan via whattsApp +2349063879939. or Email (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and share your own testimony thanks. Peter loan company offers is a great company and they are the only loan lender who can offers you loan without collateral others are fraud. Mr peter is a very good and kind man he is a God fearing man And i believe God has sent him to come and help us so any one who is really in need of an urgent loan should contact him own and get your instant loan thanks once again. contact him on (+2349063879939). OR Email him on (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and celebrate by sharing your own great testimony too do not lose this great opportunity thanks.

    BeantwoordenVerwijderen