18:55
25/1/2011

Za kilkadziesiąt dolarów można było kupić dostęp do konta administratora w serwisach internetowych należących do amerykańskich ogranizacji rządowych i militarnych.

Admin @ gov/mil

Ogłoszenia sprzedaży danych dostępowych do kilkudziesięciu rządowych i wojskowych serwisów USA pojawiły się na jednym z forów.

Lista kont do amerykańskich stron gov/mil na sprzedaż

Lista amerykańskich stron gov/mil wystawionych na sprzedaż

Wiarygodności ofercie dodawały screenshoty panelów administracyjnych poszczególnych stron.

Panel zarządzający jedną z przejętych stron

Panel zarządzający jedną z przejętych stron

Włamywacz oprócz dostępu do serwisów na prawach administratora oferował również dumpy baz danych (dane osobowe), w cenie 20 dolarów za 1000 rekordów.

Dane osobowe na sprzedaż

Dane osobowe na sprzedaż


Dane osobowe na sprzedaż

Dane osobowe na sprzedaż

Włamanie najprawdopodobniej nastąpiło na skutech błędów typu SQL injection — atakujący udostępnił zrzut ekranu przedstawiający bota-skanera sterowanego przy pomocy IRC.

IRC-owy bot, weryfikujący podatności na stronach internetowych

IRC-owy bot, weryfikujący podatności na stronach internetowych

Cała historia brzmi fajnie, ale pamiętajmy że rządowe/wojskowe strony internetowe to coś innego niż rządowe/wojskowe sieci komputerowe — a to właśnie tam znajują się ciekawsze informacje.

P.S. W Polsce też mieliśmy parę lat temu podobne włamania. Z reguły kończyły się one ujawnieniem …jawnych danych, np. telefonów do dzielnicowych.

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. Drobny błąd
    “[..]pojawiły się na jednym z a href=http://blog.imperva.com/2011/01/major-websites-govmiledu-are-hacked-and-up-for-sale.htmlforów/a.”

  2. o, jest jeszcze cache google tej strony, jak można łatwo znaleźć :P

    co do wojskowych sieci komputerowych – taaak, najlepiej pójść na WAT czy coś w tym stylu, i tam, w trakcie zajęć informatyki, szukać ciekawych informacji ]:->

  3. @shaql niestety na wacie jako cywile nie mamy dostępu do żadnych ciekawych rzeczy :P Ciekawsze obiekty są pilnowane i posiadają zamki szyfrowe albo czytniki kart :)

  4. ehh, jak zwykle, z kiepsko ocenzurowanych screenshotów ( http://imperva.typepad.com/.a/6a01156f8c7ad8970c0147e1cc78d8970b-pi można łatwo wygooglać, co to za adres xD )

  5. Z reguły kończyły się one ujawnieniem …jawnych danych, np. telefonów do dzielnicowych.
    Hm, jakoś tak pierwsze o czym pomyślałem czytając to zdanie to – Gorion. Zupełnie nie wiem czemu…

  6. s/panelów/paneli

  7. …przypomniał mi się Gorion :)

  8. Odbiegając od tematu.
    Jak prezentuje się poziom WAT-u w wersji wojskowej?
    Duża różnica między cywilnymi a wojskowymi?

  9. @Sinx Wojskowi pełnią normalną służbę i uczą się. Jako cywile widujemy ich tyle co na korytarzach albo gdzieś na terenie.
    Zajęcia mają oddzielnie i większy nacisk mają kładziony na sprawy powiązane z obronnością kraju i technologiami wspomagającymi wojsko. Poza tym zakres materiału jest podobny jak nie taki sam. Na wacie są też wydzielone tereny gdzie wstęp mają tylko wojskowi i nam powiedziano żebyśmy się po prostu nie zbliżali :P
    Dostęp do akademii też jest na zasadzie legitymacji i przechodzenia przez bramki z czytnikami.
    W sumie to ciekawe czy “klucz” dostępu jest jednakowy dla wszystkich czy też każdy ma indywidualny i monitorują studentów. Do tej pory nikt nie dostał po uszach za “obecność” na zajęciach jak go nie było.

  10. @sketeyo Dzięki za informacje, miałbym jeszcze kilka pytań do Ciebie odnośnie tej uczelni.

    Jeśli możesz i nie byłoby problemu odzezwij się na: mium307@gmail.com , z góry dziękuje.

  11. zabrakło informacji o źródle…

    • Marcinie, źródło jest podlinkowane w tekście.

  12. hackforum

  13. @Piotr Konieczny
    Piotrek, mea culpa – zmyliło mnie linkowanie źródła do słowa: oferował. Bo w sumie to nie imperva oferuje te konta :)

  14. Jak na stronę rządową/militarną to panel administratora wygląda żenująco słabo.

  15. @CapaciousCore: jeszcze słabiej wypadają same zabezpieczenia systemu :) więc co ty się wyglądem przejmujesz?

  16. @Marcin Maziarz Polskie strony rządowe i ich zabezpieczenia nie są lepsze. Myślałem, że takie aplikacje są na wyższym poziomie, a tu się okazuję, że nie są.

  17. @CapaciousCore: tak? to zrób coś z tym, zgłoś gdzie trzeba…

    w artykule zostało podkreślone – że strony www nie mają wiele wspólnego z siecią rządową. Może i jest to jakaś wizytówka, ale tego typu rzeczami – nakręcają się media tylko dlatego że to widać, bo można pokazać – że strona główna została podmieniona na jakąś z turecką flagą i paroma gr33tz’ami. A że winnym był np. operator hostingu – to tym sobie nikt głowy nie zawraca. Ważne aby mieć o czym pisać, a ciemny lud to przyjmie.

  18. @Marcin Rybak dobrze wiesz o co mi chodzi. Fakt, takimi rzeczami nakręcają się media. Rozumiem, że wina może leżeć niekoniecznie po stronie programistów jednak poziom ich pracy powinien być adekwatny do zleconej roboty. Przecież byle komu nie zleca się tworzenie takich rzeczy.

    Kilkukrotnie zgłaszałem uwagi odnośnie kilku polskich stron rządowych i jak na razie dostałem typowe odzewy czyli olewka.

  19. @CapaciousCore: poziom ich pracy jest jak widac adekwatny to tego ile im zaplacili wiec nie ma co sie dziwic ze takie cuda sie dzieja.

  20. @sketeyo
    “W sumie to ciekawe czy “klucz” dostępu jest jednakowy dla wszystkich czy też każdy ma indywidualny i monitorują studentów.”
    Monitorują. Wychodząc, odblokuj swoją ELS bramkę dla koleżanki, która nie może znaleźć swojej karty, to Cię bramkarz upomni. To pewnie tylko ewidencja tego, czy nikt niepowołany nie został na terenie wewnętrznym WATu (wlazł, ale nie wylazł) na noc.
    Chociaż – jeśli im się zechce – mogą okazjonalnie weryfikować obecności w razie podejrzenia, że ktoś hurtowo cwaniaczy.

  21. @Marcin nie byłbym tego aż taki pewny. Dla przykładu stronę, którą skrytykowałem (pokrzywdzeni.gov.pl) została zrobiona za bagatela 80k złotych (według moich informacji), a nie jest warta więcej niż 3-5k złotych. Znajomości robią swoje. Co ciekawe… zlecenie wykonała jakaś śmieszna firma sprzedająca sprzęt AGD i RTV.

  22. @nameless odblokowywanie bramek dla innych jest nagminne. Nikt nic z tym nie robi. Pilnowane przez ochronę są 2 wejścia z 3 a i tak kilka osób wchodzi na jedną kartę.
    Teoretycznie kiedy odblokuje bramkę i wejdę to nie powinienem móc wejść jeszcze raz a jedynie wyjść – niestety można wchodzić dziesiątki razy bez wychodzenia ;)

  23. @nameless: najlepiej sprawdzić, jakimś MITM, jaka jest ‘komunikacja’ między kartą a bramką, jakie dane są przesyłane :P był tu chyba kiedyś artykuł o hackowaniu kart kredytowych metodą MITM… albo nie tu, nie pamiętam :P

    @sketeyo: a to najwyraźniej zależy, co studiujesz. ja informatykę studiuję, więc, jak mi się na laborkach (a więc na kompach WATu, a dokładniej ISI) nudzi, to grzebię w sieci… i już mam bardzo interesujące dane ;]

    na infoboxach (w sztabie) za to niby nic interesującego, ale przynajmniej można pograć na przerwach, jak się wie jak xD

  24. https://niebezpiecznik.pl/post/karty-kredytowe-z-chipem-podatne-na-atak/ – takie coś trzeba na WAT’cie spróbować! ;]

  25. @shaql ten infobox ledwo działa :P Dodatkowo co chwila ktoś zmienia wygaszacz ekranu. Z tego co zdążyłem zauważyć to tamte usb nie mają zasilania więc pendriva nie wczyta :P

    Ja jestem na WELu na EiT a z komputerami mam tylko styczność na MTP i TI ale to akurat najmniejsza część moich zajęć.

  26. @sketeyo: ‘ktoś’ ;] nie przywiązujesz uwagi do szczegółów, jak widzę? przyjrzyj się: http://strona.wcy.wat.edu.pl/index.php?option=com_content&task=blogcategory&id=2&Itemid=22 :D

    usb jest odłączony hardwarowo, to to widziałem ;] mam znacznie prostsze metody hackowania infoboxów, niż usb. tak proste, że nikt przede mną ich nie zauważył najwyraźniej xD

    i też mam niestety mało informatyki, ale to dopiero pierwszy semestr :P

  27. @shaql ja na waszym piętrze mam tylko Ti i to raz w tygodniu:P

    Odłączasz zasilanie a po restarcie startuje goły system bez nakładki ?:P
    Zresztą na Cybernetyce mało kto chyba tego używa bo większość z laptopami chodzi bo jest wifi(swoja drogą w czasie zajęć nawet szybko się pliki pobierają :) ) które łapie też w salach 3xx :)

  28. OT odnośnie WATu: Jak tam jeszcze ‘studiowałem’ to przełażenie przez płot, żeby się z akademika na zajęcia z ‘materiałów’ dostać, to była norma. Kilka dni po takich zajęciach nie mogliśmy wejść na teren normalnie, bo system zablokował nam karty. Okazało się, że w systemie stosunek liczby ‘wyjść’ do ‘wejść’ trochę się nie zgadzał (jakieś 11:3 :P)
    Wątpię żeby coś się zmieniło w tej kwestii – może tylko bardziej przymykają na to oko.

    Ciekawe czy moja stara karta jeszcze działa… Ma jakieś 4 lata ;]

  29. @sketeyo
    Bramki “trój-palczaste”, z obstawą bramkarzy, są w 2 miejscach – główna i tylna brama. Bramki “grzebieniowe” kojarzę 3 – obok tylnej bramy, koło przystanku Archimedesa i w sztabie na klatce schodowej G (bo ten róg jest poza ogrodzeniem).
    Wszystkie (te z obstawą też) są pod kamerami. Pod koniec dnia mogą zajrzeć do rejestru wejść/wyjść. Jeśli liczba wejść i liczba wyjść nie zgadzają się, mogą wyszukać w rejestrze przypadków kilkukrotnego użycia tej samej ELS w ciągu, powiedzmy, minuty. Sprawdzą je na monitoringu i zobaczą miłego kolegę, dzięki któremu koleżanka wg. rejestru nocuje na terenie WAT. Oczywiście nikt nie mówi, że chce im się to codziennie badać.
    Ciekawi mnie, czy system rozróżnia wejścia/wyjścia po kierunku obrotu bramki, czy po tym, z której strony bramki przyłożono kartę.

    @Torwald
    Gdyby nie przymykali oka, to co roku połowa studentów wylatywałaby z uczelni za olewanie systemu przepustek. W końcu tu się pracuje w sejfach i projektuje szyfratory.:P

    @shaql
    Już wiemy, że jesteś fajny, umiesz się bawić InfoBox’ami and doesn’t afraid of anything.:) Oferują Tobie pracę przy łataniu InfoBox’ów, to może bierz za to kasę i jeszcze namów ich do odblokowania dostępu do reszty internetu. Chyba nie wpadli na to, że studenta bez laptopa pewnie nie stać też na samochód i chciałby sprawdzić rozkład ZTM/WKD, itd.

  30. “Cała historia brzmi fajnie, ale pamiętajmy że rządowe/wojskowe strony internetowe to coś innego niż rządowe/wojskowe sieci komputerowe — a to właśnie tam znajują się ciekawsze informacje.”
    A sami nakręcacie temat pisząc “kup sobie roota”. Przecież to “zwykłe” konta dostępu do CMSa a nie jakiś root na serwerze.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: