Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Az HBGary incidens háttere

2011.02.19. 17:41 | buherator | 5 komment

Szegény HBGary-ék nagyon padlótfogtak az Anonymous támadásától, a cég lemondta a napokban tartott RSA konferenciára szánt előadásait, stand helyett pedig csak egy rövid üzenetet helyeztek el, melyben kifejtik, hogy a személyüket ért fenyegetések miatt nem kívánnak megjelenni a rendezvényen.

De vajon milyen hibák vezettek odáig, hogy ezt, az Interpollal és NSA-el rendszeresen együtt dolgozó céget így megalázhatták? Az Ars Technika megírta, és a történet, ahogy az már csak lenni szokott prózaibb az (el)vártnál. A dolog úgy indult, hogy az HBGary honlapjai számára egyedileg fejlesztett CMS rendszerben az Anonymous tagjai kiszúrtak egy SQL injection hibát. Igen, ez fájdalmasan tipikus... A rendszerben tárolt jelszavak persze hash-elve voltak, MD5-tel, salt nélkül, így az Aaron Barr (CEO) és Ted Vera (COO) által használt 6 kisbetű + 2 számjegy bonyolultságú jelszavak megfejtése nem okozott gondott néhány giga szivárványtáblával.

Ez persze legfeljebb egy kiadós deface-hez vezethetett volna, ha a kedves vezetők nem használták volna ugyanezeket a jelszavakat az e-mailezésükhöz, az egyik céges szerver SSH hozzáféréséhez (bónuszként a gép üthető volt a szívemcsücske $ORIGIN kiterjesztés hibával), valamint a cég Google Apps fiókjának adminisztrációjához. Ez innentől már sakk-matt, az már csak hab a tortán, hogy az egyik e-mail postafiók és a levelezésben talált régi root jelszó segítségével a támadók rávették az egyik rendszergazdát, hogy nyisson root shellt számukra a cég webszerverén is.

Az előző poszt írása közben végig az járt a fejemben, hogy nehogy egyszer én is úgy járjak, mint az ott bemutatott szerencsétlenek. A helyzet azonban az, hogy az HBGary olyan alapvető hibákat vétett, hogy a sorsuk meg volt pecsételve, és ez az igazán ciki.

Címkék: incidens anonymous hbgary

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

loolek · http://loolek.tumblr.com 2011.02.21. 01:43:59

Nagyon jó az ars cikk. Azért pont egy third party CMS -nél nem tipikus, hogy elsőre bepattan egy ilyen url

The exact URL used to break into.

www.hbgaryfederal.com/pages.php?pageNav=2&page=27

Arra gondolok, hogy az IDS rendszerük és/vagy eljárásmódjuk, SE lehetett a helyzet magaslatán.

Ezt most olvastam ->

securityskeptic.typepad.com/the-security-skeptic/2011/02/anonymous-vs-westboro-baptist-church-nobodys-right-when-everybodys-wrong.html

translate mondja: Névtelen Gyáva bőgőmasina "hackerek"

buherator · http://buhera.blog.hu 2011.02.21. 08:20:32

@loolek: nem az a lényeg h third party, hanem hogy egyedileg fejlesztett!

buherator · http://buhera.blog.hu 2011.02.21. 08:21:34

@loolek: A WBC meg önmaga paródiája, nagyon viccesek (és napok óta DoS-ban vannak) :D

loolek · http://loolek.tumblr.com 2011.02.21. 09:19:58

@buherator: Mivel én is ilyen fejlesztő vagyok (nem CMS ;) nekem ez automatikusan ugyan azt jelenti.

De igaz, mások open source csomagjait is third party -nak hívják.

src.chromium.org/viewvc/chrome/trunk/deps/third_party/
süti beállítások módosítása