ExploitHub vs. Inj3ct0r

Kisebb riadalmat okozott a héten, hogy az Inj3ct0r nevű kiddie banda kiposztolt egy üzenetet, ami az exploit-kereskedelemben utazó ExploitHub egyik rendszerének dumpját tartalmazta. Az év többi részében az ExploitDB anyagait szorgosan másoló csapat állítása szerint majdnem 250.000$ értékű kódot sikerült zsákmányolniuk ez azonban ordas kamunak tűnik. Az oldalt üzemeltető NSS Labs-nál a ltászat ellenére ugyanis nem hülyék dolgoznak: bár egy kint fejeltett install szkripten keresztül az ExploitHUB egyik internetre néző kiszolgálójára a hivatalos közlemény szerint valóban sikerült bejutniuk a kis csibészeknek, az elvárásoknak megfelelően ezen exploitokat nem, csak a megvásárolható kódok listáját tárolták. A magam részéről ehhez még hozzávenném, hogy jó eséllyel felhasználói adatokat is tárolhatott ez a szerver, a nyilvánosságra került dump azonban kizárólag publikusan elérhető adatokat tartalmazott. Biztos ami tuti, azért érdemes jelszót változtatni az oldalon. 

1.6 millió

Igen, az sqlmap még mindig működik - Index:

Karácsonyi szünetre vonul a GhostShell nevű hackercsoport, de utolsó nagy dobásként 1,6 millió felhasználónevet és jelszót tettek közzé. A felhasználói adatokat olyan cégek és hivatalok adatbázisaiból nyerték ki, mint a NASA, a Pentagon, az amerikai Nemzeti Bank, az Interpol vagy épp az FBI. [...] az Európai Űrügynökség (ESA) adatainak egy része is belekerült a szórásba, így néhány magyar felhasználó nevét, telefonszámát, felhasználói azonosítóját és jelszavát is megismerhetjük.

Bukták

• John McAffee-t visszatoloncolták az USA-ba, miután állítólagos belize-i ámokfutása után Guatemalába szökött, ott azonban elkapták, mivel a vele utazó nagyeszű újságírók nem törölték ki a GPS koordinátákat a Twitterre feltöltött fotóikból. A történet annyira szórakoztató, hogy legszívesebben leírnám még egyszer, de nem teszem: McAfee ugyanis már eladta a jogokat a sztori megfilmesítésére.
• Nemzetközi bűnüldöző szerverk, valamint a Facebook együttműködésének eredményeként sikerült őrizetbe venni tíz személyt, akiket a 11 milliós Butterfly botnet üzemeltetésével gyanúsítanak. A társaság számlájára összesen 850 millió dolláros kár írható, amit a főként FB-n és MySpace-en terjesztett, "indítst el ezt az EXE-t, jó lesz neked" típusú Yahos kártevőn keresztül zsebeltek be. 
• "A Kolozsvári Táblabíróság jogerős végzése értelmében a követelt félmillió dollár helyett csak 15 ezres kártérítést kell fizetnie az NASA informatikai rendszerét feltörő Butyka Róbert kolozsvári hekkernek." - további infók az Indexen.
• Sok éves jogi hercehurca után ugyanakkor Gary "UFO hacker" McKinnon, úgy tűnik megússza a NASA szerverein történő turkálást: a kiadatás megtagadása után az Egyesült Királyságban nem emelnek vádat az Asperger-védekezés feltalálója ellen. 

Vérdíj

Tisztára valamelyik '90-es évek beli cíberpunk sci-fi-ben éreztem magam, mikor azt olvastam, hogy a japán rendőrség jutalmat tűzött ki egy C# programozáshoz jól értő, az online anonimitásban jártas illető kézrekerítésére. A jutalmat az után ajánlották fel, hogy a bűnüldözők két ártatlan fiatalt vettek őrizetbe, miután a valódi elkövető a gépüket proxyként használva tömegmészárlásokat előre vetítő üzeneteket helyezett el különböző fórumokon.