13:56
8/5/2013

Jak można wyczytać na stronach dolnośląskiej policji, wczoraj o 11:00 ujęto 32-letniego mieszkańca Legnicy, który ma odpowiadać za ataki na serwis aukcyjny i 2 banki. Straty oszacowano na 8 milionów złotych — zapewne chodzi o kwietniowe “pady” Allegro i marek BRE Banku.

Oświadczenie policji potwierdza także, że w trakcie ataków DDoS na Allegro i mBank żądano okupu w Bitcoinach w wyskości 50 tys. złotych.

Sprzęt DDoS-era (fot. policja)

Dysk DDoS-era kopiowany poprzez blocker Tableau T35u (fot. policja)

Na chwilę obecną nie podano informacji jakie “błędy” popełnione przez szantażystę umożliwiły policji jego namierzenie. Z nieoficjalnych wypowiedzi osób zapoznanych ze sprawą informacji wynika jednak, że szantażysta w trakcie negocjacji miał zaskakująco dużą wiedzę na temat pracowników serwisu aukcyjnego i wewnętrznych procedur.

Jak informuje TVN24, legniczanin po przesłuchaniu prze policję został zwolniony. Zakończmy myślą podkomisarza Rynkiewicza:

Pamiętajmy ! W sieci nigdy nie jesteśmy anonimowi. Każde działanie pozostawia po sobie ślad, który w razie zachowania wypełniającego znamiona czynu karalnego, może doprowadzić do naszej identyfikacji.

PS. Kilka porad na temat pozostania “anonimowym” przekazaliśmy w tekście Służby czytają nasze SMS-y.

Przeczytaj także:

95 komentarzy

Dodaj komentarz
  1. ‘W sieci nigdy nie jesteśmy anonimowi’
    rly?
    co z torem mistrzu :D?

    • TOR-a, jak wszystko, trzeba umieć używać ;-)

    • Własnie miałem napisac to co Piotr

    • @Tomek:
      kiedyś się zdziwisz co z tym TORem, mistrzu….

    • TOR? Bezpieczenstwo dla frajerow. Tylko I2P ale i tak z
      watpliwosciami – wszystko dziala na backoorowej Javie (taki zbieg
      okolicznosci).

    • No tak, pobrać TorBrowsera to trzeba umieć.

    • Ludzie wychwalający anonimowość TORa: skoro jesteście tacy pewni swojej anonimowości, wejdźcie na Silk Road, kupcie ze 100gr. heroiny/kokainy (bo broni już podobno nie ma) i wyślijcie na domowy adres. Niech to nawet będzie w pancernej, ekranizowanej, hermetycznie zamkniętej skrytce próżniowej, żeby na post-hubach nie odkryli zawartości ładunku.

      ^to było a propos “No tak, pobrać TorBrowsera to trzeba umieć” i temu podobnych.

    • “Ludzie wychwalający anonimowość TORa: skoro jesteście tacy pewni swojej anonimowości, wejdźcie na Silk Road, kupcie ze 100gr. heroiny/kokainy (bo broni już podobno nie ma) i wyślijcie na domowy adres.”

      3/10 bo odpowiadam

      pierwsza zasada używania tora, nie podawaj swojej prawdziwej tożsamości (choćby to miało być fałszywe imię/nazwisko ale z prawdziwym adresem), nie loguj sie na swoje ‘normalne’ konta e-mail, społecznościowe, nie używaj tej samej przeglądarki do zwykłych interentów i do tora

      tyle wystarczy, naprawdę.

    • Jakt ktoś jest aż takim idiotą, że korzystając z usługi zapewniającej anonimowość podaje swoje dane osobowe to nie jest to wina Tora…

  2. Pytanie z innej beczki, urządzonko podłączone do HDD to jakiś moduł szyfrujący czy zwykły adapter, bo po prawej chyba leży modem/router ew. SSD?

    • to pewnie blocker.

    • Raczej wieloprzejściówka – taki adapter hdd/cf/xd/ms/sdusb

    • Jeżeli jest to blocker to w takim razie na zdjęciu mamy sprzęt policyjny podłączony do HDD DDoS-era, a nie jak według opisu “Sprzęt DDoS-era”.

  3. czy aby na pewno zdjęcie pokazywało sprzęt sprawcy? głowy nie dam, ale jak dla mnie jest to laptop policyjny, na który zgrywają dysk sprawcy. U góry widać nawet walizkę, która kojarzy mi się ze sprzętem do kopiowania nieinwazyjnego.

    • Sprzęt to to również dysk twardy, który jest obrazowany przez blocker ;)

    • To jest sprzęt biegłego sądowego, Policja takich nie używa :)

  4. Mam małe pytanie co to jest w pomarańczowej obudowie ?

  5. i proszę, za pomocą takiego niepozornego stateczku*dało się zatrzymać dwa ‘WIELKIE OKRĘTY POTĘŻNEGO MOLOCHA’ – jakby nie spojrzeć na szlachetność bądź naganność czynu: szacun i ukłony się należą! ;-)
    __
    *patrz fota

  6. To na pewno on?

  7. Tak trochę po za tematem.
    Ktoś powinien domniemanego DDoS’era nagrodzić a nie aresztować..!
    Allegro to moloch, który nie liczy się nikim a napewno nie swoimi użytkownikami.
    Co drugi powinien is z DDoSować. Dużo szumy było tylko dla tego, że kasę tracili, ale jak inni przez nich tracą to jest wszystko w należytym porządku!
    Koleś tylko dupa, że dał się złapać – chyba długo nie praktykował…

    • Czyli uważasz, że firmę można atakować? Skutki będą takie, że podwyższą opłaty, by odbić sobie inwestycje w nową siedzibę Pixel Park w Poznaniu http://www.urbanity.pl/wielkopolskie/poznan/park-biurowy-pixel,b5035/zdjęcia oraz na wzmocnienie IT (najpierw powinni wzmocnić IT, a dopiero potem wymianę siedziby). Skoro klienci widzą usprawiedliwienie dla wymuszeń, to czemu firma ma o takich klientów dbać?

    • Większego steku bzdur od dawna nie czytałem ;)

      A co z ludźmi którzy nie sprzedali towaru bo nikt im towaru nie licytował? Co z firmami, które w momentach przerwy były pozbawione dostępu do klientów? ;)

    • najlepszy ddos jaki im można zrobić to skasować konto i iść gdzieś indziej

  8. 1. Cały sprzet oprocz tego dysku Samsunga (dysk podejrzanego po lewej) jest czlowieka ktory zabezpieczal dane
    2. to urzadzenie z diodami podlaczonego do w/w dysku to Tableau T35u, bloker nie pozwala na zapis na dysk zeby nie skompromitowac dowodu
    3. Podlaczone nastepnie to lapka usbem 3
    4. Na ekranie widac najprawdopodobniej FTK imager do wykonania kopii binarnej
    5. Zastanawia mnie dysk zewnetrzny (zrzutowy) bo podlaczony jest chyba usbem 2 takze predkosc zapisu obrazu tak do 25-27 Mega/s :)
    6. Skrzynka na gorze jest od blokera

    CHYBA TERAZ BEDZIE WSZYSTKO JASNE!!!!!!!!!!! ;)

    • to pomarańczowe – to nic innego jak przedłużacz ;-) Mam podobny ;-)

    • Marta: A to zdjęcie to może u Ciebie na hacjendzie zrobiono? Skoro przedłużacz ten sam :D

    • Skoro tak się znasz to powiedz czy robią jakąś sumę kontrolną dysku (zawsze mogą coś dodać od siebie i powiedzieć, że tak było).
      Ciekawe jak sobie radzą z dyskami spiętymi na RAID0 + szyfrowanie tak utworzonego dysku (np. 2x4TiB = 8 TiB) – ciekawe jak zrobią jego obraz. :)

    • Wszystkie definicje i opisy trafione, widać znasz temat lub bierzesz udział w realizacjach :)

    • Suma kontrolna jest zawsze generowana i wpisywana do protokołu, żeby zabezpieczony materiał miał gwarancje autentycznosci

    • No MD5 muszą robic
      Nie przesadzaj 8 T to nie tak dużo. Na poczatku zrzut odzielnie dyskow potem skladanka klockow lego, chyba ze SystemRescue powinien sobie poradzic ze zlozeniem strajpa.
      Szyfrowanie moze byc problematyczne :)

  9. Szkoda, że nie podali czy używał TrueCrypta, czy ‘złapali’ sprzęt z zasilaniem i byli w stanie wyciagnać klucz z RAMu, czy współpracowali z ISP by zawezić grono podejrzanych?
    W końcu, jeśli wierzyć statystykom TORa, ruch z Polski to nic w porównaniu z ruchem z Syrii czy Chin. Zastanawiam się czy zamiast iść od Allegro po sznurku do plątaniny TORa, nie prościej im prześledzić wszystkie nitki do TORa od strony ‘domowych’ dostawców. Zwłaszcza w świetle oswiadczenia, że atakujacy mial duża wiedzę wskazującą na robote wewnetrzną to chyba prościej posprawdzać kto z pracownikow w tym roku korzystał z TORa… tak sobie głośno myslę.

    • Nie musiał korzystać ze swojego domowego łącza.

  10. Tak… mi się przypomniało… a wie ktoś jak zakończyła się sprawa NVMa i Netii ? Miał opublikować całą bazę jeśli nie dostanie pieniędzy… i coś cała sprawa nagle ucichła..

    • Nie zakończyła się. Jego pastebin przestał być aktualizowany kilka miesiecy temu gdy sie zrobilo dużo szumu. Może uznał, że nie ma sensu dalej tego ciagnąć bo za duże ryzyko ..

    • Obstawiam, ze po cichu zaplacili. Co innego mieli zrobic?
      Przyznac sie, ze oszczedzaja na IT, a wszystko co w serwerowni to
      gow* chinskiego hujaja? Te odszkodowania! W zyciu. Lepiej bylo
      zaplacic.

    • NVM23 został skompromitowany, a jego dane wiszą już dobry miesiąc na PBMie.
      Bazę kupił, jak to NVM nazwał, “prywatny inwestor”.

    • NVM – ostatnio jak sprawdzałem to nic nie dostał. Można zobaczyć wszystkie transakcje do jego adresu bitcoin.

    • @Janek tak Janku, na 100% przelal na swoje oryginalne konto. Pelna logika.

  11. Ha! Ha! “hakerska” Legnica pozdrawia :) No w życiu bym nie przypuszczał, że takie rzeczy u mnie w mieście. Już wiem dlaczego pingi w grach skakały ;-)

  12. Interesujące to zdjęcie, zauważcie, że układ klawiatury to QWERTZ (widać po wkurzającym enterze). Czy polskie służby mogą kupować sprzęt komputerowy nie z polskiej dystrybucji? Bądź też używany/poleasingowy? Jeśli się nie mylę muszą kupować nowy wyłącznie z polskiej dystrybucji (tzn że klawiatury powinny być qwerty US). Więc sprzęt jest albo prywatny albo hakiera.

    ps. może być też tak, że jak najbardziej sprzęt pochodzi z polskiej dystrybucji ale z racji że przetarg publiczny to HP czy też inna firma dostarczająca sprzęt wietrzyła magazyny, a że były akurat qwertz tylko to cóż…

    • w policji nikt klucza z ramu wyciagac nie potrafi – gwarantuje Ci to

      w polsce obstawiam tylko abw i wsi

      miałem praktyki w takiej komórce i wierz mi wiedza jest ….. powalająca

    • @jan – pewnie mi chciałeś odpisać.
      Myslałem bardziej o Wydziale do Walki z Przestępczością Gospodarczą nie o Policji – jeśli oni nie mają specjalistów którzy potrafią takie akcje przeprowadzać to po co taki wydział? Równie dobrze mogą prosić o przesłanie nośnika pocztą w dogodnej chwili.

    • Służby mogą korzystać z pomocy prywatnych instytucji specjalistycznych, współpracujących z nimi, np. Biura Ekspertyz Sądowych. Ich nie obowiązują przetargi, mogą kupować sprzęt od kogo im się podoba.
      Nie sądzę aby haker używał blokera sprzętowego (bo niby po co?) i korzystał z aplikacji do wykonywania kopii binarnej. Chyba, że to zdjęcie nie jest autentyczne.
      Biorąc pod uwagę, że dysk zrzutowy jest podłączony dość niefortunnie, zestaw ze zdjęcia był prawdopodobnie zapasowym/dodatkowym, albo w tym samym momencie wykonywano (w terenie) kopie binarne kilku zabezpieczonych dysków. Specjaliści forensicowi dysponują zazwyczaj dedykowanym narzędziem pozwalającym na szybkie wykonanie kopii binarnej zabezpieczonych na miejscu nośników, a takie pająki robi się gdy sprzęt owy jest zajęty, albo pojechał na ważniejszą akcję.

    • Jest jeden problem w twojej logice: Układ qwertz wymyślili Polacy… Jasne, teraz wszyscy na US qwerty jadą (ci bardziej obeznani na Dvoraku, ale ja mimo chęci nie mogłem nigdy złapać klawiatury Dvoraka), jednak na początku lat 90 i późnych 80 wszędzie tylko były qwertz – nawet nazwy przycisków były spolszczone (zamiast Insert, wstaw, home to było zdaje się Początek, delete – skasuj a Backscape to chyba było Cofnij), no ale nie przyjęło się. Jednak parę polskich firm nadal produkuje klawiatury w układzie Qwertz – wiem, bo nie dawno w lokalnym Komputroniku widziałem takie cudo – a jakże, ze spolszczonymi klawiszami!

    • Dzięki za wyjaśnienie, dla mnie jedyną używalną jest qwerty US.
      Ale widocznie jacyś starzy wyjadacze tam siedzą i się przyzwyczaili. Albo lekko nieświeże procedury przetargowe mają i zamawiają tak od lat komputery z qwertz :D

    • Jak wyscie sie dopatrzyli tam ukladu QWERTZ? Ja tam ledwo rozrozniam klawisze od siebei, a co dopiero przeczytac litery :D
      A tak wogole to ktos mogl sobie zmienic klawisze na klawiaturze i ustawic odpowiedni uklad w systemie bo lubi QWERTZ i nie musial wcale specjalnie zamawiac takiego lapka w przetargu :P

    • @greku, klawiatury qwertz mają charakterystyczny enter tego się nie da “przełożyć” :)

    • @Mariusz: odnośnie klawisza “enter” w układzie “qwertz”…wybacz, ale to bzdura. Pamiętam, że kiedyś tak faktycznie było – klawiatury qwertz miały charakterystyczny kształt entera. Już od dawna jednak nie mają.

      @SuperTux: układu “qwertz” nie wymyślili Polacy!

    • Laptop to Dell E6220/6230 i klawiatura szwedzka/niemiecka czy inne guano z umlautami w alfabecie. Mam E6230 ściągany z Holandii i stara klawa ma taki enter, nowa polska ma podłużny a obie są QWERTY :)

  13. A taka ciekawostka z tvn24: 32-letniemu legniczanin po przesłuchaniu został zwolniony. Jesli okaże się, że to on jest sprawcą ataków, grozi mu więzienie. – Z pewnościa jednak będziemy dochodzili zwrotu naszych strat – mówi przedstawicielka grupy Allegro.

  14. no a teraz czekam na łosi od:
    “powinni go zatrudnić, a nie ścigać” oraz “w stanach to by mu zaraz pracę w xxx zaproponowali”.

    • W Stanach daje się pieniądze lub pracę tym, którzy nakryli w serwisie internetowym błędy. Są nawet konkursy organizowane przez czołowe firmy np. Google, w których można oficjalnie atakować np. przeglądarki. Zwyciężają w nich także Polacy. Z szantażystami niemal wszędzie organa ścigania obchodzą się zasadniczo inaczej.

    • Nie no, nie żartuj. Google nigdy by takich osób nie zatrudniło.

    • No widzisz, nikogo nie zatrudnili. A nie mówiłem?

  15. Najciekawsze są dane ukryte w EXIF pliku jpg.
    Zrobione “aparatem” Samsung GT-S7562, data wykonania zdjęcia “wczoraj rano”.

    • 9PM to nie 9AM.

    • Pozostałe zdjęcia na stronie policji też mają podobne znaczniki. Mea culpa godzina 9PM a nie AM

  16. WSI już nie istnieje …..

    • Tak, tak po wmawiaj to sobie, to może stanie się to realne

  17. Filozofia mojego współlokatora:
    Nie przejmuję się wirusami, bo takimi ludźmi jak ja się nie interesują. Nie jestem nikim wielkim. A nawet jeśli wykorzystają mój komputer do botnetu (po krótkim wprowadzeniu w aktualne realia dowiedział się co to jest), to dla mnie szkody nie ma.

    Komentarz współlokatora do tej informacji:
    “Chwała mu za to. I co, że ktoś stracił 8 milionów złotych. Dla siebie przecież nie wziął”..

    • Wirusy się nie interesują tylko policja objawia swoje
      zainteresowanie komunikatami “Twój komputer został zablokowany.
      Przelej…” :)

    • twój kolega to zwykły idiota

  18. “stracili” tzn nie że ktoś im ukradł, tylko że nie zarobili
    8mln w tym czasie. Nie można stracić czegoś czego się nie
    ma.

    • Można. O utraconych korzyściach nie słyszałeś? Art. 361 § 2 k.c. się kłania.

    • Wyobraź sobie, że wygrałeś 8mln w totka. Zadowolony Idziesz do kolektury, ale po drodze jakiś dres obija Ci gębę i zabiera kupon. Straciłeś 8mln, czy nie?

    • @hydralisk: jesteś z pokolenia, które nauki logiki w szkole już nie miało, tak?

      Wyobraź sobie, że idziesz do sklepu po los w totka. Po drodze dres obija ci gębę i zabiera kasę na los. Nie kupujesz go, nie wygrywasz. Poniosłeś stratę? Jaką? Czyja jest wina? Następnego dnia idziesz ponownie, kupujesz los, nie wygrywasz. Jaką poniosłeś stratę i czyja jest wina?

      @Jerema: no właśnie :) To jest takie samo pieprzenie jak antypiraci tracą miliony gdy ktoś kopiuje piosenkę.

    • @Ninja – może to nie jest najlepszy przykład, ale Twój jeszcze bardziej odbiega od rzeczywistości.

      Utrzymywanie jakiegokolwiek dużego serwisu kosztuje i to znacznie, dobrze o tym wiesz… Teraz jeśli ktoś DDOSując Twój serwis pozbawia Cię dochodów, które normalnie byś osiągnął, to to nie jest jakaś wyimaginowana utrata potencjalnych zysków (jak w przypadku piractwa, bo np. wcale nie jest powiedziane, że kupiłbyś film, gdybyś go nie obejrzał na torrentach), tylko [b]ewidentna[/b] strata. No chyba jednak jest drobna różnica?

  19. Co z tego, że go złapali jak Allegro jest dalej dziurawe? Wielka firma, mały człowiek.

    • Gdzie te dziury?

    • Poszukałbym tych dziur żeby ci je pokazać, ale się boję że mnie do pierdla posadzą…

  20. Jak właściwie należy rozumieć ten zwrot: “Straty oszacowano na 8 milionów złotych” ?
    Taką kwotę musieli zapłacić za szkody wynikłe z DDoSa (i dlaczego aż tyle?), czy w sensie, że tyle im przepadło, bo serwis wtedy nie działał z powodu DDoSa, więc nie zarabiali w tym czasie (czyli po prostu nie było zysku) ?

    • Ta kwota to najpewniej utracone zyski oraz walka z DDoS-em. Pozostaje jeszcze i tak konieczna kwota na lepsze zabezpieczenia całego IT w Grupie Allegro, które powinny być wdrożone już dawno na okoliczność tego typu ataku (a ma ona oddziały w kilku krajach, niestety pod różnymi markami). Zauważcie, że w Grupie Allegro można pracować także m.in. we Wrocławiu (Ceneo, Bankier.pl) http://kariera.allegro.pl/ a Legnica znajduje się w województwie dolnośląskim http://pl.wikipedia.org/wiki/Legnica. Gość mógł więc pracować w Grupie Allegro i być może zdobyć zbyt dużą wiedzę na temat procedur, w stosunku do tego, co było konieczne na jego stanowisku. Warto się przyjrzeć, czy sprawca miał relacje z firmą i jakie one były. Może miał spór z Allegro jako pracownik lub klient.

    • Tyle pracownicy tych spółek wydali na Xanax i Walerianę.

    • Zapomniałem, że te straty to także rekompensaty za utrudnienia wypłacone sprzedającym.

    • @Paweł Nyczaj – Pawle, rozbawiles mnie. Kiedy Allegro cokolwiek wyplacilo sprzedajacym? Przeciez to monopol, ktorym ma w du@ie i sprzedajacych i kupujacych,

  21. Policja złapała osobę mmasturbującą Allegro i mBank. To koleś zrobił komputerowe bukkake na te strony :) A to nie są straty tylko utrata potencjalnego zysku.

  22. No to gościu ma problem, winny czy niewinny pewnie będzie miał do zapłacenia absurdalnie wysokie odszkodowanie…

  23. Mimo wszystko najbardziej interesujące jest JAK to zrobił.

    • Nie zmań szczegółów, ale mógł wynająć botnet lub sam go stworzyć (ta druga opcja jest jednak trudniejsza i przez to mniej prawdopodobna). Albo DDoSował ze swojego kompa, choć w tym przypadku dziwny ruch mógł wykryć ISP a TOR czy inne wynalazki utrudniające namierzenie mocno przymulaja łącze. Zapewne na Niebezpieczniku niedługo się czegoś dowiemy, choć policja a tym bardziej ludzie od IT zaatakowanych firm będą raczej oszczędni w zdradzaniu szczegółów (po co inspirować potencjalnych naśladowców).

  24. Złapali, czy nie, dziś około 7:00 – 7:30 przeglądając otomoto ich serwer przestał odopwiadać – allegro to samo – oba serwisy leżały przez 15 min :)

  25. No super nasza policja się wykazała bo były to duże serwisy dużych firmy. Tylko jak mała firma jest atakowana to policja prokuratura ani sąd nic w tym kierunku nie robi a najlepszym rozwiązaniem jest umorzenie postępowania.

    Żenada

    • A to juz zupelnie inna sprawa. Tak zwykly korporacyjny syf.

  26. Nie ma to jak skopiować artykuł
    http://www.gorowo.pl/2013/05/08/policja-zlapala-osobe-ddosujaca-allegro-i-mbank/

  27. Zastanawia mnie, czy ten przedłużacz jest wtyknięty do UPSa z zimnym startem. Jeżeli nie, ktoś komuś kradnie prąd.

  28. Lamerstwo najwyższej klasy,
    koleś bez Tora lub anonimowego proxy robi ataki DOS, a teraz nasza Policja pokazuje jak wielki sukces odniosła, chwaląc się przy okazji posiadaniem blokera i umiejętnością wykonania kopii binarnej :)
    Atak z dolnej półki, a computer forensic naszej policji w pełni dopasowany do tego poziomu, ale sukces medialny jest :), poczekajmy teraz jakie evidence file zostaną wykazane, czy biegły sądowy okaże się takim samym lamerem jak reszta składu :) Czy może ta sprawa trafi do kogoś kto prezentuje wyższy poziom abstrakcji.
    Co do Allegro i reszty składu, może by tak wdrożyć Blackholing lub WAF życie będzie łatwiejsze :)
    Powodzenia dla wszystkich bohaterów tej historii :)

  29. […] Gdyby przeciek o ataku DDoS okazał się prawdą, BZWBK byłby kolejnym po mBanku bankiem, który padł w tym roku ofiarą DDoS-a. Ciekawe, kto tym razem miałby stać za atakami — odpowiedzialnego za ataki na mBank (i Allegro) policja przecież już schwytała… […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.