Τρίτη, 8 Μαρτίου 2011

o Πόλεμος των Hacker

Πόλεμος των Hacker - Πως οι Anonymous την έφεραν στην HBGary


Οι Anonymous κέρδισαν τα φώτα της δημοσιότητας όταν, θέλοντας να δείξουν τη συμπαράστασή τους στο WikiLeaks, έριξαν τους server για τις κεντρικές σελίδες του Paypal, της MasterCard και της Ελβετικής τράπεζας Postfinanz. Όταν λοιπόν η αμερικανική εταιρεία ασφαλείας HBGary Federal απείλησε να τους ξεσκεπάσει, οι Anonymous πέρασαν στην αντεπίθεση.
Στις αρχές Φεβρουαρίου ο επικεφαλής της HBGary Federal, Aaron Barr, είπε σε συνέντευξή του στους Financial Times πως, στα πλαίσια ενός project για τη διερεύνηση των κινδύνων που δημιουργούν τα social media, είχε καταφέρει να διεισδύσει στους Anonymus και να αποκαλύψει την ταυτότητα ηγετικών στελεχών της οργάνωσης. Δεν αποκάλυψε στη συνέντευξη τα ονόματα, αλλά είπε πως είχε δημιουργήσει ένα φάκελο με online ταυτότητες, ονόματα, και σε ορισμένες περιπτώσεις διευθύνσεις, τον οποίο κρατούσε για μία προγραμματισμένη συνάντηση με το FBI. Ήταν μάλιστα έτοιμο και ένα δελτίο τύπου που καμάρωνε πως "Η HBGary Federal [...] δείχνει τα δόντια της αποκαλύπτωντας τους επικεφαλής των Anonymous".
Αυτό το δελτίο τύπου, όμως, δεν στάλθηκε ποτέ. Μία μέρα μετά τη συνέντευξη στους Financial Times, οι Anonymous πέρασαν στην αντεπίθεση, αποκαλύπτωντας κάποια αρκετά ντροπιαστικά στοιχεία για την HBGary Federal και τη μητρική της, HBGary.
Άγνωστοι κατάφεραν να διεισδύσουν στα υπολογιστικά συστήματα της εταιρείας, αποκτώντας πρόσβαση σε 60.000 περίπου emails. Την πρόσβαση κατάφεραν να έχουν μέσω του website της HBGary, το οποίο βασιζόταν σε ένα σύστημα δικής της κατασκευής.
Το πρώτο λάθος της εταιρείας ήταν πως το σύστημα, που παρήγαγε URLs της μορφής /pages.php?pageNav=2&page=27, δεν έλεγχε κατάλληλα της παραμέτρους, επιτρέποντας στους hacker να περάσουν εντολές οι οποίες κατέληγαν στη βάση δεδομένων της HBGary μέσω του ίδιου τους του συστήματος.
Με αυτό τον τρόπο οι Anonymous είχαν πρόσβαση στα password, τα οποία - δεύτερο λάθος - είχαν μια πολύ απλή κρυπτογράφιση τύπου MD5 hash, χωρίς κανένα επιπλέον μέτρο ασφαλείας. Ήταν λοιπόν σχετικά απλό να αποκρυπτογραφήσουν τους κωδικούς.
Το τρίτο λάθος ήταν η χρησιμοποίηση ίδιων password της CMS για πολλούς λογαριασμούς, συμπεριλαμβανομένων του e-mail, του Twitter και του LinkedIn. Έτσι οι Anonymous είχαν πρόσβαση σε πολλούς λογαριασμούς email, συμπεριλαμβανομένων αυτών του Aaron Barr και του CEO της μητρικής HBGary, Ted Vera.
Ο Vera είχε επίσης ένα λογαριασμό στο support.hbgary.com, ο οποίος ήταν προσβάσιμος μέσω SSH, και στον οποίο οι Anonymous είχαν πρόσβαση με τον ίδιο κωδικό. Το σύστημα έτρεχε μία έκδοση Linux η οποία - λάθος τέταρτο - περιείχε ακόμα ένα πρόβλημα ασφαλείας στον GNU-C loader, το οποίο είχε αποκαλυφθεί από τον προηγούμενο Οκτώβριο. Αυτό το σφάλμα επέτρεπε σε απλούς guest να αποκτήσουν δικαιώματα root, δίνοντάς τους πρόβαση σε πολλά gigabytes με backup και δεδομένα έρευνας.
Επειδή ο Barr ήταν επίσης ο administrator στο λογαριασμό Google Apps της HBGary, είχε το δικαίωμα να αλλάξει τα password στους λογαριασμούς e-mail των εργαζομένων. Με αυτό τον τρόπο οι Anonymous μπήκαν στο λογαριασμό του Greg Hoglund. Ο Hoglund είναι πολύ γνωστός ειδικός όσον αφορά τους ιούς τύπου rootkit και είναι συνδιδρυτής της HBGary. Το πέμπτο λάθος είναι πως στο inbox του Hoglund βρισκόταν το password του root για το site rootkit.com.
Με τη βοήθεια αυτού του κωδικού, οι Anonymous κατάφεραν να πείσουν έναν άλλο administrator να ανοίξει ένα tunnel μέσα από το firewall για να αλλάξει το user password του Hoglund, που υποτίθεται πως το είχε ξεχάσει. Χρησιμοποιώντας αυτή την πρόσβαση SSH, οι Anonymous κατάφεραν να έχουν πρόβαση στο server και τα δεδομένα των λογαριασμών του forum της εταιρείας, όπου τα passwords ήταν επίσης σε μορφή MD5 Hash και άρα εύκολο να αποκρυπτογραφηθούν.
Συνολικά, το επίπεδο ασφαλείας σε μια εταιρεία ασφαλείας ήταν γελοιωδώς χαμηλό. Τα περισσότερα από τα παραπάνω λάθη μπορούσαν να είχαν αποφευχθεί με εξαιρετικά εύκολες αλλαγές. Όμως υπάρχουν και χειρότερα στην ιστορία.
Μετά από μια αποτυχημένη απόπειρα να βρεθεί μέση λύση μέσω IRC, οι Anonymous δημοσίευσαν τόσο τις υποτιθέμενες ταυτότητες των ηγετών της όσο και όλο το περιεχόμενο του αρχείου του email  της HBGary στο διαδίκτυο. Κι ενώ τελικά τα στοιχεία που υποτίθεται είχε η HBGary για τους ηγέτες της Anonymous αποδείχτηκαν εντελώς άχρηστα, μέσα από τα email της εταιρείας ήταν εμφανείς οι επιχειρηματικές συμφωνίες και τακτικές των ηγετικών στελεχών της HBGary.
Εδώ αξίζει να σημειωθεί η διαφορά της HBGary και της HBGary Federal. Η δεύτερη, που αποτελεί θυγατρική της πρώτης, έχει ιδρυθεί σχετικά πρόσφατα και είναι εξειδικευμένη στα social networks. Επειδή μέχρι στιγμής η HBGary Federal δεν έχει μεγάλα επιτεύγματα να δείξει σε υποψήφιους πελάτες, ο επικεφαλής της, Aaron Barr, δεν έχει διστάσει να καταφύγει βρώμικες μεθόδους για να προωθήσει την εταιρεία του.
Για παράδειγμα, για να κλείσει ένα μεγάλο πελάτη για τη δημιουργία ενός συστήματος για τη διαχείριση online ταυτοτήτων μέσω δορυφόρου (personas) και την συλλογή και ανάλυση δεδομένων, ο Barr πρότεινε ενδοεταιρικά την εξής μεθοδολογία: Να χρησιμοποιήσει κρυφά μία persona για να μοιράσει έναν ιό στο σύστημα και μία δεύτερη persona για να "ανακαλύψει" αυτό τον ιό (Γιάννης κερνάει και Γιάννης πίνει, σαν να λέμε), ώστε να φανεί το πόσο καλή δουλειά κάνει η εταιρεία. Το σχέδιο δεν πραγματοποιήθηκε μόνο και μόνο γιατί ο προγραμματιστής του Barr είχε συνείδηση και αρνήθηκε να συμμετάσχει.
Όμως και η θυγατρική HBGary, με επικεφαλής τον Greg Hoglund, δεν είναι εντελώς αγνή και αθώα. Το πιο γνωστό προϊόν της είναι το HBGary Responder, το οποίο μπορεί να χρησιμοποιηθεί για την ανάλυση της μνήμης σε συστήματα Windows. Το πρόγραμμα αυτό συχνά χρησιμοποιείται από τις αρχές για διερεύνηση εγκληματικών ενεργειών αλλά και για την ανακάλυψη ιών και λοιπών Malware.
Κάτω από το τραπέζι, όμως η HBGary έχει και άλλες δραστηριότητες, όπως για παράδειγμα τη δημιουργία ιών, trojan και spyware κατά παραγγελία, στα μέτρα του πελάτη. Για παράδειγμα, για το χαμηλό κόστος των 60.000 δολαρίων, η HBGary παρέχει την πλατφόρμα "HBGary Rootkit Keylogger", ένα custom made kernel rootkit το οποίο κατασκοπεύει συστήματα με windows αποφεύγοντας προγράμματα antivirus, rootkit detectors και firewalls. Στην τιμή συμπεριλαμβάνεται και ο πηγαίος κώδικας, επιτρέποντας στους πελάτες να κάνουν τις δικές τους τροποποιήσεις.
Ο Hoglund, που περιγράφει τον εαυτό του σαν ένα "Serious bad ass", σχεδιάσει αυτή την περίοδο ένα νέο τύπο rootkit, με την επωνυμία 12 Monkeys/Magenta, ο οποίος σκοπεύει να αποφεύγει κάθε είδους antivirus software με το να μην συνδέεται με συγκεκριμένες διεργασίες, αλλά κινούμενος από εδώ και από εκεί στη μνήμη του συστήματος - το κόστος για τη δημιουργία ενός πρωτοτυπου το θέτει στις 280.000 δολάρια (τσάμπα πράγμα). Ένα πρόγραμμα που είναι σχεδόν έτοιμο είναι το Task B, το οποίο επιτρέπει σε υπολογιστές να μολυνθούν με μια σύντομη επαφή μέσω USB, FireWire ή PCMCIA Card, ενώ συζητείται και μια έκδοση μέσω iPod.
Τέλος, η HBGary με μεγάλη της χαρά παρέχει 0 Days υπηρεσίες: Εκμετάλλευση κενών ασφαλείας για τα οποία δεν έχει δημιουργηθεί ακόμα Patch. Όπως και ο έμπορος ναρκωτικών της γειτονιάς, δεν αναφέρονται σε αυτές τις υπηρεσίες σαν "0 Days" αλλά με το πιο χαριτωμένο όνομα "juicy fruits". Αυτά τα juicy fruits περιλαμβάνουν σφάλματα ασφαλείας στο VMWare, τη Java και το Flash, μεταξύ άλλων.
Κοίτα να δεις λοιπόν που η θεωρία συνομωσίας πως "Οι εταιρείες με τα antivirus δημιουργούν τους ιούς" έχει μια βάση τελικά...[via]

Read more: TECH&TECH: o Πόλεμος των Hacker http://www.techandtech.gr/2011/03/o-hacker.html#ixzz1G17c47UL

Δεν υπάρχουν σχόλια: