Szegény HBGary-ék nagyon padlótfogtak az Anonymous támadásától, a cég lemondta a napokban tartott RSA konferenciára szánt előadásait, stand helyett pedig csak egy rövid üzenetet helyeztek el, melyben kifejtik, hogy a személyüket ért fenyegetések miatt nem kívánnak megjelenni a rendezvényen.

De vajon milyen hibák vezettek odáig, hogy ezt, az Interpollal és NSA-el rendszeresen együtt dolgozó céget így megalázhatták? Az Ars Technika megírta, és a történet, ahogy az már csak lenni szokott prózaibb az (el)vártnál. A dolog úgy indult, hogy az HBGary honlapjai számára egyedileg fejlesztett CMS rendszerben az Anonymous tagjai kiszúrtak egy SQL injection hibát. Igen, ez fájdalmasan tipikus... A rendszerben tárolt jelszavak persze hash-elve voltak, MD5-tel, salt nélkül, így az Aaron Barr (CEO) és Ted Vera (COO) által használt 6 kisbetű + 2 számjegy bonyolultságú jelszavak megfejtése nem okozott gondott néhány giga szivárványtáblával.

Ez persze legfeljebb egy kiadós deface-hez vezethetett volna, ha a kedves vezetők nem használták volna ugyanezeket a jelszavakat az e-mailezésükhöz, az egyik céges szerver SSH hozzáféréséhez (bónuszként a gép üthető volt a szívemcsücske $ORIGIN kiterjesztés hibával), valamint a cég Google Apps fiókjának adminisztrációjához. Ez innentől már sakk-matt, az már csak hab a tortán, hogy az egyik e-mail postafiók és a levelezésben talált régi root jelszó segítségével a támadók rávették az egyik rendszergazdát, hogy nyisson root shellt számukra a cég webszerverén is.

Az előző poszt írása közben végig az járt a fejemben, hogy nehogy egyszer én is úgy járjak, mint az ott bemutatott szerencsétlenek. A helyzet azonban az, hogy az HBGary olyan alapvető hibákat vétett, hogy a sorsuk meg volt pecsételve, és ez az igazán ciki.