Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Hogyan történt a Facebook hack?

2012.05.05. 21:00 | buherator | Szólj hozzá!

Google-ről érkezőknek: nem fogom megmutatni, hogyan törd fel a csajod/pasid Facebook fiókját.

Korábban említettem Glenn Mangham esetét, akit először 8 hónap börtönre ítéltek a Facebook rendszerének feltöréséért, majd később a bíróság lefelezte a büntetést, így most a srác szabadlábon van. Az ügy lezárultával Glenn egy hosszabb blogposztot tett közzé, melyben kifejti, ő hogyan látta a történteket.

Az ügy háttere röviden annyi, hogy Glenn a reménybeli FB fejlesztőknek szánt játékokat futtató alkalmazás hibáját kihasználva hozzáfért a cég alkalmazottainak e-mailjeihez, és a rendszer forráskódjaihoz is, melyeket saját számítógépére le is töltött. Az akciót idő közben észlelték a közösségi oldal biztonsági szakértői, és értesítették az FBI-t, akikkel együttműködve csapdákat állítottak a rendszerben. Glenn is észrevette, hogy lebukott, és megpróbálta eltűntetni a nyomait, de ekkor már késő volt, a hatóságok rövid nyomozás után lecsaptak rá. 

A hacker mostani nyilatkozatában elismeri, hogy hibázott, és vállalja tetteinek következményeit, de az eljárás néhány részletével kapcsolatban kemény kritikát fogalmaz meg. Állítása szerint az ártó szándékot semmilyen bizonyíték nem támasztja alá. Eddigi pályafutása, melynek során többször együttműködött különböző rendszerek üzemeltetőivel biztonsági hibák befoltozásának érdekében, valamint a tény, hogy a birtokába került forráskódokat nem szivárogtatta ki, véleménye szerint éppen a jószándékot támasztja alá. Úgy érvel: a birtokába került kódokat egy offline gépen tárolta, így azok tulajdonképpen nagyobb biztonságban voltak, mint a Facebooknál :) 

Mindez persze nézőpont kérdése, mint ahogy az is, hogy a nyomtakarítás, mint pánikreakció elfogadható-e egy "etikus" hack során, vagy hogy a hibák bejelentése jó lépés lett volna-e a lebukás után, az FBI-al a pályán (a "White Hat policy" az eset idején még nem létezett). A Glenn által megszellőztetett apró részletek a nyomozásról azonban egyértelműen mutatják, hogy a Facebook embereit sem kell félteni, ha incidenskezelésről van szó. Minimum a legális határok feszegetésének tűnik, hogy az egyik Glenn tulajdonában álló domain tulajdonosát az eset után egyszer csak átírták, majd jelszóemlékeztetőt kértek az adminisztrációs felülethez (a hatóságnak feltehetően lettek volna egyszerűbb, kevésbé látványos eszközei a domain megfigyelésére). Emellett jól érzékelteti a Facebook politikai erejét, hogy a Glenn brit hatóságok által lefoglalt útlevelének fényképe eljutott Joe Sullivan (becenevén Tomahawk Joe), a Facebook biztonsági főnökének irodájába, a fülön csípett csalók és pedofilok arckép-trófeái közé. 

Tomahawk-Joe.jpg

Korábban én is belefutottam érdekességekbe a Facebook háza táján, és Tomahawk Joe is többször egyértelműve tette (ha valaki megtalálja a vonatkozó előadást, szóljon!), hogy ha kell, felveszik a kesztyűt a betolakodókkal szemben. A felelős bejelentésekre vonakozó új irányelvek és "A Hacker Út" követése viszont remélhetőleg lehetőséget teremt rá, hogy a kíváncsi kutatók megkülönböztethessék magukat a pedofiloktól és viagraárusoktól. 

Címkék: bukta facebook glenn mangham

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.