Az FBI szorgalmasan húzogatja a strigulákat LulzSec ügyben. Bár már a múlt héten is írták, akkor még soványan voltak a konkrétumok a cikkekben. Most már van értelme összeollózni az infókat. Lássuk.
Cody Kretsinger (== Recursion) 23 éves Phoenix-i (Arizona) lakos a Sony breach elsődleges vádlottjaként fog bíróság elé állni, és 15 év néz vele farkasszemet. Recursion a LulzSec oszlopos tagja, Ő és néhány társa SQL injection segítségével lovasítottak meg 77 millió rekordot a Sony adatbázisaiból. Következő versenyző Christopher Doyon 47 éves hajléktalan a "PLF", "Commander Adama" és "Commander X" nick neveket használta. Christopher és Joshua John Covelli ("Absolem" és "Toxic" nicknéven) szintén a vádlottak padján találja magát többek között Santa Cruz weboldala elleni támadásért.
Az a nem mindegy hogy hogyan kapták el őket. A töréshez a hidemyass.com VPN szolgáltatását használták és semmi mást. Az említett szolgáltató az FBI megkeresésére csutka nélkül kiadta a logokat. A Privacy policy-ben minden le van írva, tessék elolvasni, de azért ezt így beidézem:
Legalities
Anonymity services such as ours do not exist to hide people from illegal activity. We will cooperate with law enforcement agencies if it has become evident that your account has been used for illegal activities.
Tehát akkor tömören: A nagy tudású haxorok egy olyan szolgáltatáson keresztül toltak sqlmapot, ami kerekperec kimondja a szerződésben hogy az illegális tevékenység == szerződésszegés, és kiadjuk az adataid a hatóságoknak. A hidemyass.com blogon lévő postból idézek:
Our VPN service and VPN services in general are not designed to be used to commit illegal activity. It is very naive to think that by paying a subscription fee to a VPN service you are free to break the law without any consequences.
Ennél azért többet vártam volna. Médiafigyelemért elkurvult szkriptzsonglőr bohócok. :T
src:
http://www.reuters.com/article/2011/09/23/us-sony-hacking-arrest-idUSTRE78L6QO20110923
http://thehackernews.com/2011/09/lulzsec-hacker-tracked-by-proxy-logs.html
http://blog.hidemyass.com/2011/09/23/lulzsec-fiasco/
http://online.wsj.com/article/SB10001424053111903791504576588000221629340.html
Snc0pe elkészítte a coresecurity weboldalánajk új dizájnját, megtekinthető itt.
Önként folyamodott csődeljárásért az a holland biztonsági cég, amelynek rendszeréből olyan digitális hitelesítéseket loptak el hackerek, amelyekkel álcázhatták magukat, és valószínűleg Gmail-használók levelezéséhez fértek hozzá segítségükkel.
Nincs mondandóm. ^_^
src: origo
Az évi rendszerességgel feltört SSL-t megint feltörték.
Egy holnap kezdődő brazil konferencián mutat be Juliano Rizzo egy chosen-plaintext alapú támadást. A konferencia honlapján elég egyértelműen le van írva (legeslegalul), hogy bizonyos - több böngésző által is használt - SSL/TLS implementációban találták a sérülékenységet. A protokoll mindazonáltal köszöni szépen, jól érzi magát. Az implementációra valami patch majd biztos jön, a támadás részletei viszont érdekesek lehetnek.
Egy kis olvasnivaló, azon kívül, hogy érdekes, számomra kicsit megdöbbentőek is a számok.
(Egyébként minden hónapban megkapom egy csoki- és üdítőautomata üzemeltető cégtől a havi leltárt excelben, ill. egy állami, vízgazdálkodással foglalkozó cégtől időnként küldenek meghívókat eseményekre, meg néha gyártás előtt álló gépek ilyen-olyan tervrajzait is. A címzettek közé persze még vagy 30-40 másik cím van cc-zve. És mindez azért, mert valaki(k)nek hasonló a neve az enyémhez. Én próbáltam őket lebeszélni. Többször. Már feladtam.)
A VAV szóvivője Per Kristiansen elmondása szerint, az alkalmazottak Bluetooth kapcsolaton keresztül is kaptak hozzáférést a létesítmény épületeihez és néhány létfontosságú rendszer irányításához. A technológia bevezetését az indokolta, hogy megkönnyítsék a dolgozók munkáját - az ötlet nem rossz, hiszen a létesítmény hatalmas. 2004-ben egy jelentés már rámutatott a svédországi vízellátó rendszer gyengeségeire az esetleg terrortámadásokkal szemben, a mostani eset azonban még megdöbbentőbb. A hálózat hatszázezer ember ivóvíz ellátásáért felel, a távvezérlésért felelős Bluetooth kapcsolat jelszava ennek ellenére az volt, hogy „0-0-0-0”
src: techline.hu
Kb. egy hete kezdtek el beszélni a Morto nevű wormról. A róla szóló cikkek alapján kissé bumfordi darab, közel sem nevezném kifinomultnak, bár valóban hatékonynak tűnik. Az érdekessége az (nekem fura is), hogy állítólag ilyen módszert még korábban nem használt más féreg, pedig eléggé magától értetődőnek tűnik: internet felé nyitott RDP portokat keres és kipróbál pár gyenge jelszót az Administrator accountra. Ha profit, akkor bemegy, feltelepszik és megpróbál beszkennelni belső hálózatba, szintén 3389-es portra, amivel ordenáré nagy forgalmat produkál. (Így persze nem igazán van értelme keseregni azon, hogy fullra patchelt windowsokat fertőz meg... ez nem zero day) Hálózati IDS-eknek amolyan low-hanging-fruit, főleg a jól azonosítható dns kérések miatt.
Újabb példa, hogy látványos eredményhez nem feltétlenül kell szikével vágni, amíg hanyag az admin (bocs a képzavarért).
Még ropogós. Ez a kép fogad ha ránézel az alábbi néhány szájtra:
- http://www.vodafone.com/
- http://www.theregister.co.uk/
- http://www.ups.com/
- http://www.telegraph.co.uk/
- http://www.acer.com/
- Illetve a http://www.nationalgeographic.com/, ez utóbbit igen gyorsan rendberakták.
A webszerverek köszönök jól vannak, de az A és NS rekordok hazudnak. Egyetlen szépséghibája a dolognak hogy a slashdot effekt miatt a fenti weboldalak nem feltétlenül válaszolnak. :)
src: slashdot turkguvenligi
Adott egy MySQL szerver (nálam 5.1.49) és egy tcpdump ami tartalmaz egy bejelentkezést. A következőképp történik az auth:
- kliens konnektel, szerver elküld neki 8+12=20 bájtnyi randomot amit scramble-nek nevezünk
- a kliens elkészíti a tokent a scrambleből és a jelszóból, és a felhasználónév kíséretében elküldi a szervernek
- kliens oldalon a jelszót egyből sha1-el le is hasheljük, a továbbiakban őt nevezzük stage1 hasnek
- a stage2 a stage1 sha1-e, ez is kelleni fog
- a kliens auth csomagban haszált token receptje: XOR( SHA1( scramble, stage2 ), stage1)
Elliot Doxer (43) az Akamai alkalmazásában állt egészen idáig, most 15 év pihenőre ítélték miután kiderült hogy a cég szempontjából igencsak szenzitív üzleti információkat akart eladni potom 3000 USD értékben izraelnek. Ezen információk között van az Akamai teljes ügyféllistája, szerződések, a hálózat kiépítése, technikai részletek (beleértve az alkalmazott biztonsági megoldásokat), a munkavállalók adatai (név, beosztás, telefonszám). Azt hogy miért tette nem annyira lényeges, inkább a hogyan. Írt egy levelet a bostoni izraeli konzulátusnak címezve, innen az alábbi idézet:
I am a jewish american who lives in Boston. I know you are always looking for information and i am offering the little i may have.
Az izraeli hírszerzés fel is vette a kapcsolatot Doxerral, aki szorgalmasan küldözgette is a doksikat dropboxon. Doxer csak arról a jelentéktelen részetről nem tudott hogy az "izraeli kapcsolat" az FBI belhárítás csoportjának egyik ügynöke volt. A tanulságot mindenki vonja le maga, de egy kérdést lehet érdemes lenne kicsit jobban megrágcsálni: Hogyan és miért bukott le?
src: computerworld
Cornish 37 éves IT arc, egy gyógyszer ipari cégnél (Shionogi) dolgozott, de távozott posztjáról miután összeakasztotta a bajszot egy senior managgerrel (ejtsd.: szenior managger). Ez után (még tanácsadóként továbbra is a cégnél dolgozott) de közben huncut módon feldrótozta a céget. 2010 szeptemberben végleg megvált a cégtől. Ezt követően február 3.-án belépett a cég hálózatába, nemes egyszerűséggel törölt 15 virtual szervert, és ezzel tönkrevágta a levelezést, a könyvelést, a rendeléskövető rendszert. A cég az FBI-hoz fordult, azok pedig első körben elkérték a tűzfal logokat, amihez az emberünk nem fért hozzá, így nem is tudta purgálni. Megtalálták benne a támadó IP címét, ami egy Smyrnai (az egy város) McDonalds-hoz tartozott. Az emberünknél nem volt kp, ezért kártyával rendezte a 4.96 usd-s számlát. A vásárlás időpontja 5 perc eltéréssel de megegyezik a tűzfal logok időpontjaival.
A Shionoginak 800,000 USD-be került az eset, Cornishnak 10 év hüvösbe.
src: bnet
ps: valami tényleg el van cseszve a bloghunál....
(Nagyon megszenvedtem a belépéssel, úgy tűnik, a blog.hu admin felülete nem kompatibilis a Firefox 6-tal, úgyhogy ezt most IE 9-cel írom. Bár ezzel sem tűnik minden a megtestesült tökéletességnek. Linket például csak a forráskód szerkesztőben tudtam beszúrni. Én lennék a hülye? A felelősökről vudubabát készítünk és összeszúrkáljuk.)
A nyár végi kissé uborkaszezonban egy több tanulsággal is kecsegtető hírt dobott ki magából az internet. Két nagy kínai mobilszolgáltatónál összesen 23 munkatárs került olyan helyre, ahol - hogy Karádi őrmestert idézzem - bizonyos adminisztratív okokból csak kívülről van kilincs. Példás kollegiális összefogással lopták el és árulták ugyanis a neten az ügyfelek adatait, a személyes dolgaik mellett olyan exkluzív szolgáltatással egybekötve, mellyel a megrendelő a felhasználó (telefonjának) a helyét is megtudhatta 2009 márciusáig visszamenőleg.
Az adatokat darabonként 100 jüanért ($15.53), a földrajzi lekövetést 1000 jüanért (tízszer annyi $) árulták. Külön érdekesség, hogy az adatok fő felvásárolói nem is igazán valami helyi feketepiaci érdekeltségek, hanem tartozásbehajtó cégek, magánynyomozók, és olyan egyszeri figurák voltak, akik csak azt akarták megtudni, félrekufircol-e az asszony/ház ura.
A tanulságok:
- (a blog.hu-nak még mindig van hova fejlődnie kompatibilitás terén, de szurkolunk nekik)
- a belsős munkatárs mindig veszélyesebb, mint a külső támadó, mert grey (white?) kalapban tud rosszalkodni
- csak a nagyon naivak gondolhatják azt, hogy a telefonjuk cellainformációit nem őrzik meg a szolgáltatók. Innen pedig már csak egy tyúklépés jó kis Big Brother-ös, állami és titkosszolgálati főszereplőkkel megspékelt összeesküvés-elméleteket gyártani.
- más után kémkedni (főleg, ha az illető nem is tud róla) még mindig imádunk
HVG:
Tizenéves hackerek feltörték Anders Behring Breivik két e-mail fiókját, és átadták a tartalmát a rendőrségnek, hogy segítsék a nyomozást.ITCafe:
Egy 17 éves, Frederik nevű fiú által vezetett nyolcfős norvég hackercsapat, a Noira feltörte Anders Behring Breivik, a több mint 70 ember haláláért felelős norvég terrorista két email-fiókját – áll a gawker hírében.
A csoport átadta az e-maileket egy szabadúszó oknyomozó riporternek, Kjetil Stormarknak, aki továbbította az adatokat a rendőrségnek. A Noira törte fel korábban Breivik Twitter-fiókját is.
Habár a rendőrségnek legális eszközei is vannak arra, hogy a szolgáltatóktól megszerezzék Breivik leveleit, mutatott rá az újságíró, nagy rá az esély, hogy nem jutnak annyi információhoz, mint a hackerek, ugyanis ha nem tudják, hogy vajon hány fiókja volt a merénylőnek, nem tudják azok adatait kikérni. Ezzel szemben az informatikailag felkészült hackerek könnyebben felderítik ezeket, ezért volt fontos a munkájuk – fogalmazott Stormark.
Volt már ilyen, nem is olyan régen, aztán most megint. Nem előzmény nélküli az anonplus.com mostani deface-e, hiszen pár napja az Anonymous kapta le a szíriai védelmi minisztériumot és helyezett el az aktuális szíriai politikai helyzetre reagáló üzenetet.*
Most erre válaszul - valószínűsíthetően - szíriai hackerek mondták el az eseményeket a maguk szemszögéből.
Közben a LulzSec-es/Anonymous-os Sabu azt is tagadja, hogy az anonplus.com egyáltalán az övék volna.
Egész szórakoztató kis szappanoperává kezd ez válni. Csak azt tudom javasolni, amit Buherátor már két hónapja: hozzatok kukoricát és élvezzétek a showt.
------
* De kib*szott pc voltam.
Percek óta facepalmozva vinnyogok, próbálom nem felébreszteni a körülöttem alvó életformákat. A sztori a következő: Egy 75 éves nő gondolt egyet és egy kis délutáni sétarepülésre indult Chicago külvárosában a díjnyertes 1941-es évjáratú Piper J3-as kisrepülőjén. Az Obama születésnapja miatti légtérzárról nem igazán tudott, mert elromlott a számítógép ezért nem tudta megnézni, a rádiót pedig elfelejtette bekapcsolni. Hamarosan két F16-os zúzott el mellette, illetve kezdett el cirkálni körülötte, de ő azt hitte hogy tetszik nekik a díjnyertes gép, azért rajongják körbe. Miután leszállt, közölték vele hogy az F16-ok nem hóbortból repkedték körbe, majd megérkezett a repkedésfelügyelettől a telefon, majd kicsivel később a rendőség is, a délután hátralévő részét pedig a konyhában beszélgetve töltötték. Azt mondta hogy mindenki nagyon kedves volt. Az FAA (légügy) még kitalálja hogy mi legyen a bünti.
"I thought, `Oh, well, they’re just looking at how cute the Cub is"
Kuncogás oké. A NORAD nyilatkozata után viszont már elkerülhetetlenné vált számomra a hörcsögve röhögés:
"The biggest thing to keep in mind is that when F-16s come screaming up to you, they are probably trying to tell you something"
Nem a blog miatt, de megkérdeztem egy nálam okosabb és tapasztaltabb embert a címben említett témában, hogy hogyan látja a kezdeményezést. Az alábbi öt mondatban úgy érzem sikerült megfogalmaznia mindazt, amit szerintem sokan érzünk, vagy már beszélgettünk is róla, vagy éppen csak körbelövöldöztük.
Szétforgácsolt szellemiség, erőforrások képességek és költségvetési pénz.
Szükség lenne egy központi infrastruktúra biztonsági központra is, mint sok más ország esetén.
Nem vagyok optimista, de lelkesedjünk minden kezdeményért.
A Magyar Köztársaság átfogó biztonsági rendszere az igazi koncepció, de ez sincs sehol.
Nincs egy olyan politikusi egyéniség, akinek van tekintélye és aki ennek az élére állna.
Köszönöm!
Ezt így furcsának találtam ahogy a news.google kidobta egy nytimes cikk címeként... Link. Semmi gáz csak valami punk megpukkantotta az admint és postolt egyet.
lol, quote:
We can hack anything. I’m personally sitting on 52,000 T-Mobile account passwords, 14 million Frontier Airlines EarlyReturns™ points, a thumb drive full of Balenciaga handbag serial numbers, and 200 slightly racy beach-vacation photos of a certain well-known celebrity chef.
Óvadék ellenében elengedték az alig néhány napja fülön csípett Topiary-t, írja a THC. Cserébe persze gondolnia sem szabad arra, hogy bemegy egy olyan szobában, amiben valaha számítógép volt, és még nyomkövetőt is kapott. Az Anonymous prominens tagjának tartott napszemüveges fiatalember becsületes neve egyébként Jake Davis.
Közben a pajtásai máris Free Kevin jellegű kampányba kezdtek, amivel lehet egyetérteni és nem egyetérteni, de egy dologban biztos igazuk van: van valami diszkrét bája annak, amikor tizenéves nethuszárok aláznak szét világcégeket.
Aki szakmabéli és eddig nem egy barlangból szakmabéliskedett, az tudja, hogy minden év júliusának utolsó péntekén tartják a Rendszeradminisztrátor Megbecsülésének Napját, kedveltebb nevén a Sysadmindayt. Ez volt ma, én meg elmentem rá.
Bár én nem vagyok rendszergazda, mégiscsak szakmai rendezvény és érdekesnek ígérkező is volt a program. A városligeti sörsátorban lehetett szépen gyülekezni délután háromtól. Az ezres beugró kifejezetten barátságos, főleg ha azt nézzük, mi mindent vágtak az emberhez holtingyen, nem beszélve a raklapnyi megszerezhető cuccról mindenféle nyereményjátékokon meg műveltségi vetélkedőn. Alanyi jogon járt sör és virsli, de kellőképpen vastag arcbőrrel egy komoly vacsorát le lehetett tolni a Hacktivity standon folyamatosan utánpótolt zsíroskenyér készlet megdézsmálásával.
A mintegy négyórás program három nagy elem köré épült. Az első kettő egy-egy kerekasztal beszélgetés volt, majd zárásként Hajós András stand up comedyzett. A szünetekben a Netacademia tartott szakmai kvízt. A komolyabb részén általuk szervezett képzéseket lehetett nyerni, a kevésbé komolyabbakon a már rutinosabbak számára más konferenciákról ismert szokásos netacadémiás raktárkészlet - ethical hacking póló, bögre - apasztása volt a cél (nyertem egy pólót, mert leggyorsabban ismertem fel az üres string LM hashét, meg egy bögrét, mert megmondtam egy felparaméterezett netcat funkcióját). Közben pedig folyamatosan lehetett nézegetni kiállítói standokat, amiből csak párat jegyeztem meg, de akit érdekel, a honlapon fent van az összes.
Az első kerekasztal beszélgetés elvileg a rendszergazdákról alkotott sztereotípiákról szólt volna, ami egy darabig igaz is volt, aztán a végére átment karriertanácsadásba infósok részére. Abban minden résztvevő egyetértett, hogy az emberi tényező (tudjátok, jó kommunikációs készség, csapatjátékos etc.) legalább annyira fontos egy munkatárs kiválasztásánál, mint a szakmai tudás és a szakmai elhivatottság. Ez a rendkívül ocsmány "el kell tudnod adni magad" frázissal foglalható össze legjobban.
A másik kerekasztal a vállalatnál történő informatikai beszerzések folyamatában kereste a rendszergazdát. Többen panaszkodtak, hogy még ma is sok helyen dívik, hogy az informatikát nem befektetésnek, hanem szükséges rossz költségnek sorolja be az, akinél a kassza van. A döntésekbe többnyire azért szerencsére bevonják azt, aki majd szopik a cuccal. Szó volt a salesesről, aki a sivatagban is a homokot, illetve, hogy aki ilyesmit árul, az jól teszi, ha személyesen is jóban van a rendszergazdákkal. Komoly bizniszek múlhatnak a személyes ismertségen. És még egy jótanács kereskedőknek: műszaki embernek szánt irományba csak a lényeget. A bullshitet hagyd meg a hozzád hasonló hozzá nem értőknek. (Aki nem ismerné, itt fakultatívan megtekinthető a témában Z saját élményekből táplálkozó prezentációja.)
Levezetésképpen Hajós Andrást hívták meg dumálni egy félórát. Két okból jár neki piros pont. Az egyik, hogy a célközönséghez alkalmazkodva infós poénokat hozott, a másik, hogy ez kifejezetten intelligens informatikai humor volt, ami szakmailag is megállta a helyét. Ez pedig alig lenne elvárható egy szociológustól, és most mégis. Sikerült szerencsére kiszakadni az idétlen szóviccekből, meg az arra építő "vicceskedésből", hogy a vindóz mindig lefagy.
A legvégén még tartottak egy karszalag-sorszám alapú nyereménysorsolást, amire a cuccokat a szponzorok ajánlották fel és kifejezetten értékes dolgok kerültek terítékre, a pendrive-tól a mindenféle érdekes mütymürütyön és az ip kamerán át egy Xerox nyomtatóig. A kellőképpen erősek szétkalapácsozhattak pár kiszuperált pc-t (az IBM vasa meglepően jól bírja a verést), az pedig már csak egy tejszínhab az egész tetején, hogy kifelé még a kezembe nyomtak egy szatyornyi cuccot néhány aprósággal. A Leszarom tablettának kifejezetten örültem.
Egyetlen egy negatívumot tudok csak megemlíteni, de ez inkább a helyiség, mint a szervezők hibája. A beszélgetések gyakorlatilag egy légtérben voltak a standokkal, így végig komoly háttérzajt kellett kompenzálnia a hangosításnak, amit amúgy elég jó hatásfokkal meg is tett. Ja, és ha jól láttam, nem volt wifi.
Összességében ez egy kurvajó rendezvény volt. Gratulálok a szervezőknek, ha tehetem, én jövőre is elmegyek.
Két Dél-Koreai weboldalról szólnak a hírek, az egyik a Cyworld, (valami sims szerű online játék/közösségi site) a másik Nate portál. Mindkettőt a South Korea Telecom üzemelteti, és ők jelentették a breachet is. A Cyworld-nek jelenleg 33m, a Nate-nek pedig 25m felhasználója van. A jelentés szerint kikerültek email címek, telefonszámok, TB számok és jelszavak, de a cég állítása szerint "...they’re encrypted with the latest encryption technology.".
A támadó IP kínai, de mint azt tudjuk ez a világon semmit nem jelent. Ez eddig a legnagyobb breach délen, és ha azt nézzük hogy 49 millióan élnek ott akkor azt mondhatjuk hogy a teljes lakosság több mint 70%-a érintett lehet. Dél-Korea az egyik legjobban kábelezett ország: a háztartások több mint 90%-a lóg a neten. Folyik a nyomozás.
src: hindustantimes, joongangdaily.joins.com, packetstorm, hvg
A Scotland Yard letartóztatott egy 19 éves arcot, feltételezés szerint ő használja a Topiary nicket. Egy másik 17 éves karakter kihallgatása még folyamatban van, illetve folytatódik a nyomozás a további feltételezett elkövetők után. Topiary részt vett a Sony balhéban és az ő hangját lehetett hallani azon a bizonyos westboro egyház live deface videón is. Most úgy tűnik hogy mindent rá akarnak verni amire az elmúlt pár hónap alatt a lulz rátette a mancsát. A lulzsec közben jó eséllyel indul a pwnie awards-on a Epic 0wnage kategóriában (LulzSec for hacking everyone).
src: seattlepi, new york times
update
Lehet hogy mégsem azt az embert kapták el? origo, dailytech
A pastebin-en jelent meg 290 e-mail/jelszó páros, mely a bejegyzés írásának pillanatában még elérhető online. A breach érdekességét az adja, hogy a listában sok .mil-re és .gov-ra végződő cím van, illetve hogy a támadó megadta a sebezhető website-ot is, ami egy szerencsétlen táskagyártó. A dolog - mint oly sokszor - megint egy primitív sql injection-ben végződik, beküldve egy aposztrófot az url végére szépen elszáll a query. A nyíltan tárolt jelszavakon - már ha eredetileg tényleg így estek ki az adatbázisból - és azok "erősségén" pedig már meg sem lepődünk.
Klasszikus motivációja annak, hogy miért ne használjuk ugyanazt a jelszót több helyen...
UPDATE
Ahogy elnézem a csávó twitter üzeneteit őkegyelme sportot űz az sqlmap használatából. Valaki fekete ruhás-csuklyás-géppisztolyos elmehetne rátérdelni az arcára.