14:11
20/2/2012

Czego to “Anonimowi” nie wymyślą… Dla wszystkich wanna-be przestępców powstało narzędzie WebLOIC służące do przeprowadzania ataków DDoS z …telefonu komórkowego.

WebLOIC: DDoS z Androida

WebLOIC jest dość zabawnym narzędziem — po wciśnięciu przycisku “Fire” z przeglądarki w telefonie, przy pomocy JavaScript generowanych jest 1000 żądań HTTP.

webloic

webloic na Andorida

Żarty na bok — uczestniczenie w atakach DDoS, oprócz tego, że jest potwornie słabe, to także szybka droga do wizyty mundurowych w waszych domach — Anonimowi nie są bowiem w większości tak anonimowi, jak im się wydaje…

Co do Polskich Anonimowych, chętnych do skorzystania z tego narzędzia, mamy nadzieję, że wysokie opłaty za pakietową transmisję danych będą wystarczającą przeszkodą ;)

Przeczytaj także:


70 komentarzy

Dodaj komentarz
  1. Ale z androidem mogę pójść do maca i korzystać anonimowo z internetu jedząc frytki. Dlaczego mieliby do mnie przyjść mundurowi?

    • Tylko jak już idziesz do maca to zmień domyślnego maca ;)

    • Tudzież IMEI/IMSI.

    • i schowaj się przed kamerami =)

    • I płać używanymi dziesięciozłotówkami.

    • Bez kokainy na powierzchni banknotu.

    • To WIFI wysyła nr. IMEI?

  2. Zawsze można się podłączyć pod wifi np. w McDonalds ;)

    • kurcze na skype się zagadałem i ubiegłeś mnie :P

    • …nie zapominając o uśmiechnięciu się do kamery monitoringu

    • Jest jeszcze IMEI i MAC karty sieciowej. Tak więc smartfon ślady pozostawia. Anonimowi lub podający się za nimi hakerzy stworzyli narzędzie dla dzieciaków chętnych do ddosowania, ale już nie powiedzieli, że smartfon całkiem anonimowy nie jest.

    • @pawel

      Naprawde nie widzicie w tym sensu?
      Wyobraz sobie opcje na przykladzie maKdonalda 100 osob w maku w centrum handlowym ddosuje kozystajac z tego skryptu w telefonie. Kazdy ma telefon w kieszeni wiec go z kamer nie widac. Policja szuka winnych, siada informatyk i myk myk myk 100 osob jeden mak 50 drugi, 60 kfc, 140 drugie centrum handlowe. Obok niego siedzi gosciu i oglada te materialy z kamer. A tak btw centra handlowe otwarte sa 10 godzin czy nawet 12 ?
      TOTALNIE DEBILNE OBLICZENIA ~~~~~~> 100 * 279 * 46 = 1 283 400

    • IMEI? Do czego on tu?
      Przy transmisji pakietowej do identyfikacji jest IMSI. Przy transmisji via WIFI do identyfikacji jest MAC.
      Przy transmisji pakietowej nie wysyłany jest MAC. Przy transmisji via WIFI do identyfikacji nie jest wysyłany IMSI.
      IMSI nie łatwo zmienić, bo przypisany do karty, a ona zaś wiele danych wskazuje. MAC łatwo zmienić.

    • Zacznijmy od tego, że pewnie większość dzieciarni przed/po/w trakcie uruchamiania tego webloica będzie w tle puszczała ze swoich komórek requesty do fejsika ;)

    • A skoro już ktoś chce coś takiego robić, to czemu nie zainwestować ~300 zł – bo tyle około kosztuje Raspberry Pi z adapterem wi-fi i akumulatorem(chociaż koszt może być nawet rzędu 500 zł w przypadku akumulatora 10000 mAh) i mieć w pełni funkcjonalny komputer na baterie z interfejsem bezprzewodowym?
      Przy tym rozwiązaniu ma się pełną moc linuxa w kieszeni przy stosunkowo niewielkim koszcie

  3. Przecież to nie na pakiety internetowe w polsce gówno warte 50kb za 30groszy :P Tylko na WIFI w galerii handlowej : )) Do puki nie będzie pobierać IMEI to całkiem sprytne będzie : ))

  4. oczywiscie ze nie beda przeszkoda bo mozna skorzystac z szeregu darmowych punktow dostepowych co sprawia ze DDoS bedzie nie tylko darmowy a dodatkowo niemal anonimowy – trzeba by jeszcze zmienic MAC karty wifi zeby miec pewnosc ze nikt nas nie odwiedzi

    • Skoro ma ktoś nas odwiedzać, to znaczy, że producenci i sprzedawcy zapisują adresy MAC sprzedającym. Ale czy tak jest? Chętnie bym poczytał o takich praktykach. Rozumiem jeszcze zmianę adresu lokalnie, ale jeśli ktoś raz tylko wpadnie do miejsca ataku i będzie wyłącznie atakował?

    • @piotrek
      myśle że chodzi bardziej o coś takiego że w kawiarni się łączysz wysyła mac a potem wracasz do domu i łączysz sie ze swoim internetem i wysyłasz ten sam mac

    • @tadzio W kawiarni MAC się jeszcze zapisze, jeśli w ogóle spisuje się te adresy, ale w domu? Łącząc się przez router jedynie to urządzenie widzi mój MAC, a dostawca zobaczy jednie adres routera. Mylę się?

  5. I uważać na monitoring bo co z tego, że zmienimy MAC, jak widać o odpowiedniej (znanej z logów “celu”) sekundzie, że kolo w McD czy gdzie-tam z miną idioty odpala coś na komórce.
    Niby to tylko przesłanka, ale może wystarczyć do “nalotu” na czyjąś chatę.

    • Jeśli byłbyś jedyną osobą w McD to możne by i doszli z logów i monitoringu jest tylko jeden mały problem. Musieli by mieć w zasięgu kamer cały teren na którym można skorzystać z Wi-Fi. Choć pewnie i to by nie wystarczyło, bo muszą Ci udowodnić że to ty zrobiłeś, a nie ktoś inny. Zawsze można się tłumaczyć że odebrałeś SMS’a, sprawdzałeś która godzina lub cokolwiek innego. A co do kwestii samego wejścia do domu czy przeszukania to mnie właśnie cały czas zastanawia, bo w prawie jest “podejrzenie popełnienia przestępstwa”. Co to oznacza? Policjant powinien być podejrzliwy zawsze i wszędzie.

    • Jest napisane “Uzasadnione podejrzenie”

    • korzystam z sieci 3G na smartfonie zawsze gdy jestem w miejscach typu restauracja. czyli w tym momencie zawsze mogę się spodziewać wizyty smutnych panów, bo występuje “uzasadnione podejrzenie popełnienia przestepstwa”? to jest kurde jakaś paranoja.

    • @Xyron:
      tak czy tak dalej to nic nie zmienia, “uzasadnione podejrzenie” to coś jak “chyba na pewno”

    • Na Androida jest coś takiego jak “Tasker”. Automatyzacja zadań. Może np. odpalić webloic w momencie gdy wejdziesz w zasięg wi-fi tego McD. To eliminuje potrzebę wyciągania telefonu z kieszeni. Napisanie plugina webloic z obsługą skryptów wejściowych do Taskera jest trywialne.

    • Z nakazem prokuratora mogą przeszukać nawet mieszkanie świadka – np. pisząc w uzasadnieniu “bo telefon mógł zarejestrować transmisje która była atakiem”.

      A jeśli w całym mieszkaniu nie znajdą kompletnie nic nielegalnego – to wtedy będziesz sobie mógł dyskutować czy naruszono twoje prawa (już z nowego PC bo w roli dowodów zatrzymają połowę elektroniki…:)).

    • jakby weszli do mnie bez “papierka” to bym ich co najwyzej poszcul psem, i zlozyl doniesienie o wtargnieciu na moj teren i naduzywania wladzy i stanowiska :D
      a zeby miec papier to musieli by sie panowie postarac, bo podejrzenie przestepstwa z tego co wiem nie wystarcza do wydania nakazu przeszukania

    • psa by zastrzelili i dalej robiliby swoje, to jest polska, zasada domniemania jest tylko na papierze

  6. Ja sie zawsze zastanawiam przy takich newsach, jakim trzeba byc idiota, zeby instalowac aplikacje tworzone przez przestepcow. Jakbym chcial miec botnet, to bym sie podszyl pod anonimowych i zaczal “protest” w sprawie ACTA.

    • Może się też trafić anonimowy policjant który doda do takiego softu wysyłanie obecnej lokalizacji i numeru telefonu na adres mailowy najbliższej komendy.

  7. Czemu javascript a nie C? lolololo nie rozumiem

    • Teoretyczna uniwersalność? ;p

  8. no i zdjęli już.

  9. A u mnie na osiedlu są 4 niezabezpieczone sieci domowe. Chłopaki zawsze chodzą i wyniki meczy sprawdzają z zakładów. Monitoringu brak. Bycie “Anonymous” jeszcze nigdy nie było tak proste ^^ . A na poważnie. Wiele szkół, ośrodków sportowych, czy zwykłych klubów, dyskotek itp. ma hotspoty. Czyli miejsc, gdzie spotyka się docelowa grupa użytkowników tej aplikacji. Teraz DDoSowanie stanie się popularną, grupową rozrywką zaangażowanej młodzieży z misją. Zmieniam MAC, i bez problemu znajdę miejsce gdzie nie łapią kamery.

  10. @You laugh you lose Dlatego w JavaScripcie, że każdy ma dostęp do przeglądarki internetowej, w której może “odpalić” dowolną aplikację.

  11. Nic nowego. Wersja via web (javascript) była dostępna już podczas ostatnich ataków na strony rządowe.

    • Huh, no właśnie to nowego, że teraz jest aplikacja/widget na Androida (swoją drogą webloic via www nie działa już).

    • Artykuł nie wspomina o żadnej aplikacji – cytując “po wciśnięciu przycisku >>Fire<< z przeglądarki w telefonie". Przeglądarka ma być tą aplikacją?

    • @Piotr Konieczny aplikacja na Andka istnieje już od dość dawna – sam zainstalowałem ją ok. 2 tygodnie temu. Chyba, że nie mówimy o tej samej ;)

  12. Źródła ataków Anonymous są bardzo zróżnicowane od indywidualnych aktywistów po płatne botnety (np. botnet PROXY TDSS [TDL4] itp.). Nowa platforma tylko zwiększy siłę rażenia. We are Anonymous, We are legion, We never forgive, We never forget, Expect us.

    • lol

  13. Jak to dobrze, że nie dorobiłem się jeszcze tak telefonu z obsługą tak “zaawansowanych” aplikacji :)

  14. Mam pewien problem z tym artykulem. Po pierwsze nie jestem pewien czy DDoS jest przestępstwem w Polsce. Z tego co kojarze ostatnio nie byl, chociaz moge sie mylic. To, ze policja zwrocila sie do ISP o pewne informacje niczego nie udowadnia. Wyroki w Polsce wydaja sady nie policja.
    Po drugie, czy DDoS jest slaby? Zalezy jaki kto ma cel. Na przykladzie ACTA widac, ze jest bardzo medialny. Zwrocil uwage mediow na problem nie w sposob bezposredni ale sprawa zostala naglosniona. Juz samo to mozna uznac za sukces i jesli tak postawimy kryteria to nie mozna sie zgodzic z tym, ze “DDoS jest slaby”.

    • Art. 268 i 269 kodeksu karnego. Nie ma za co.

    • I tak na marginesie, gdybyś chciał argumentować, że przecież pojedynczy user skutecznego DoS-a nie zrobi – samo usiłowanie popełnienia przestępstwa też jest karalne (art. 14 kk)

    • jesli usilowanie przestepstwa jest karalne to 99.9% polskiego spoleczenstwa powinna byc juz za kratkami :D
      poczytaj przypisy do paragrafow potem sie wymadrzaj

    • Usiłowanie popełnienia przestępstwa w żadnym razie nie jest karalne. Można np. zgłosić przestępstwo oszustwa, jeśli zostało się oszukanym przy transakcji polegającej na kupnie nielegalnego towaru(np. broń, narkotyki) i nie grożą z tego tytułu żadne konsekwencje dla oszukanego kupującego. Zdarzały się takie sytuacje: http://policyjni.gazeta.pl/Policyjni/1,103617,7805919,zglosil_oszustwo___zamowilem_kilogram_narkotykow_.html

  15. Fajnie jakby dodali opcje startu z opoznieniem czasowym. Wlaczasz aplikacje, wkladasz fona do kieszeni, wcinasz mczestaw,i po 2 minutach zaczyna Ci ddosowac. monitoring – czysto, logi – do uporania chodz nie jestem specjalista :P, i ogolnie wydaje mi sie to w miare logiczne.

    • Tasker. Wspomniałem o tym już wcześniej.

  16. To straszne , lubię pisać sms-y i co ? Popiszę sobie sms-y w galerii i następnego dnia mundurowi :-)

  17. Zasieg WiFi w Mc i innych tego typu miejscach zadko (nigdy nie jest) jest igraniczony do terenu restauracji, wiec nawetnie trzeba wchodzic do srodka, wiec kamery odpadaja.

    • Nie zapominaj jeszcze o kamerach na sąsiednich lokalach lub budynkach. Otwartą kwestią jest jakość obrazu owych kamer, która jak wiadomo często bywa niewysoka.

  18. Czy policji wolno zrobić bliźniaczą kopię programu z tym, że zamiast ddosowania wysyłałby wszystkie dane osobowe znalezione na komórce do najbliższej komendy?
    A jeżeli nie policji, to może jakiejś innej służbie?

    • może, ale takie dane nie mogę być wykorzystane w sądzie. Policja nie może robić prowokacji. Tak jest np. z pedofilami. Nawet jak jakaś gazeta zrobi prowokacje na pedofila nie będzie on pociągnięty do odpowiedzialności karnej.

    • Tylko czy podrobiony soft to prowokacja?
      Nikt przecież nie nakłania do korzystania z programu, ani nie podaje się za nikogo, bo jest przecież anonimowy :)
      Z pedofilami to też zależy jak rozumieć prowokację.
      IMO Podawanie się za pedofila i zachęta do wymiany zdjęć to prowokacja, ale stworzenie serwisu zrzeszającego pedofilów w którym policja nie umieści żadnych pedofilskich materiałów, tylko będzie udostępniać fora, czy coś ala facebook już prowokacją by nie był.

  19. Ciekaw jestem czy dostawcy access pointów w publicznych sieciach wifi zrobią update softu i zablokują ruch wyglądający na ddosowanie. Jeszcze raz trzeba przypomnieć o update firmware swojego domowego rutera i zabezpieczenie sieci wifi, tak by włam do niej przynajmniej był utrudniony (atakujący znajdzie sobie wtedy łatwiejszą sieć, choćby darmową w galerii, McDonaldzie itp.). Zdaje się, że w UK zabezpieczanie prywatnych sieci wifi jest obowiązkowe.

    • Tak, jest obowiązkowe. Czy jest to praktyka stosowana i przestrzegana? To już inna sprawa. W promieniu 100m od mojego domu mam 7 niezabezpieczonych sieci (+4 z WEP).

    • istnieja jeszcze aplikacje na andka ktore te zabezpieczenia lamia :P
      lekka reka chyba moge zgadnac ze sporo tych “zabezpieczen” jest firmowana dostawca internetowym, a te latwo zlamac

  20. Regulamin sieci Play
    W ramach niniejszej Oferty Promocyjnej Abonent zobowiązuje się:
    a. nie generować sztucznego ruchu nie słuSącego wymianie informacji;
    b. nie używać Karty SIM/USIM w rozwiązaniach telemetrycznych
    c. nie używać Karty SIM/USIM do ruchu generowanego maszynowo, w szczególności
    ruchu typu „maszyna do maszyny” lub „maszyna do uSytkownika”
    d. nie używać Karty SIM/USIM do generowania ruchu, który ma charakter ataku Denial
    of Service

    Punkt d.

    • chyba nie czytales wczesniejszych komentarzy
      wifi czlowieku, czytanie ze zrozumieniem to nie jest fizyka kwantowa

  21. Zawsze można po prostu wejść do toalety w takowym np. McDonaldzie – i po problemie.

  22. Przecież każdy telefon zostawia ślady w postaci adresu mac, numeru imei i oczywiście nr karty sim. Co z tego ze skorzystacie z otwartego wifi i nowego pre paida jak i tak zostawicie ślad (imei,mac itd.). W momencie gdy wsadzicie swoja własna kartę a telefon zaloguje sie do BTSa to osoba was szukająca będzie miała wasz mac i imei, kwestia czasu będzie znalezienie was lub choćby lokalizacja z dokładnością do kilkunastu metrów za pomocą triangulacji BTS (pod warunkiem że będziecie w zasięgu 3 odbiorników). A kupowanie smartphona z androidem tylko po to by przeprowadzić g**no warty DDoS mija się z celem…

    • az szkoda slow :P
      mala porada – rozpedz sie, pochyl, i walnij w najblizsza sciane glowa
      czy to poprawi twoje myslenie nie wiem, ale pewnie otrzezwi nieco

  23. mozna miec telefon na karte prepaid.. nie wiem jak to w smartfonach.. ale wtedy nie ma koniecznosci by cie ktos znal alnp wiedzial ze akurat ty z imienia i nazwiska korzystasz z takiego telefony. jak ktos chce byc anonimowy i wie jak to osiagnac to bedzie.

  24. Kamery? Czy Wy niepoważni i oderwani od rzeczywistości jesteście? W Sopocie na molo matka wrzuca do wody swoje dziecko i żadna z kilkunastu zainstalowanych kamer nie uchwyciła momentu zdarzenia. W Gdańsku dziewczynę porywają z ulicy, a twarz jedynego świadka uchwyconego przez monitoring jest tak niewyraźna, że muszą gościa szukać po ręczniku jaki miał przy sobie. Puknęli mi auto na parkingu pod samą kamerą – zapisu z tego oczywiście też nie było.
    Za dużo filmów, moi drodzy, gdzie bohater przybliża i wyostrza zapis monitoringu niczym Deckard zdjęcia w Blade Runnerze. Nijak ma się to do rzeczywistości. “One nation under CCTV” to może w UK, ale nie u nas.
    Myślicie też, że ktoś archiwizuje logi z access pointa, jaki MAC się kiedy podłączył? Nie. Ktoś przyjeżdża, stawia urządzenie i ono sobie działa. Nikt z pracowników go nie dotyka bo nie umie (oraz nie ma hasła administratora).
    Wyobrażenia niektórych czytelników o świecie, ukształtowane przez popkulturę i resztę medialnej papki jest przerażające. Młodzieży! Litości!
    Pana Piotra natomiast serdecznie pozdrawiam!

    • Masz rację. Jednak musisz wziąć pod uwagę to, że dzięki otwarciu granic niektórzy mogli wreszcie opuścić legalnie tę Polskę bez większych problemów i komplikacji w miejscu docelowym. A więc czytelnicy Niebezpiecznika nie mieszkają wyłącznie w Polsce, ani WebLOIC nie jest zarezerwowany tylko dla Polaków. To z kolei znaczy, że komentowany news nie odnosi się jedynie do kraju o którym piszesz więc Twój wywód jest nie na miejscu. Osobiście mieszkam właśnie w “One bloody nation under CCTV” i jako urodzony Polak czuję się urażony, że wykluczyłeś mnie ze społeczności polskiej w swoim komentarzu.

      Oczywiście ostatnie zdanie jest jak najbardziej żartem.

  25. To ze zniknal z AM nie znaczy ze zniknal z internetu. google it ;)

  26. Nie wiem po co uważać na kamery, przez takie kamery to co mogą zobaczyć… ?
    Że coś robisz na telefonie, to jest karalne ?

  27. Wygląda na to że nie tylko WebLOIC umie przeprowadzac DDoS. Jest też Trojan pod nazwą Android.DDoS.1.origin – http://news.drweb.com/show/?i=3191
    który umie przeprowadzić DDoS i rozsyłać spam. Apka udaje oryginalną aplikację Google Play. Jak to oczywiście bywa wymusza z telefonu wysłanie sms-a naciągające użytkownika na ogromne koszty. Aktywność tej aplikacji można odczuć poprzez diametralne spowolnienie telefonu.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: