Najlepsze Blogi

czwartek, 26 stycznia 2012

Premier hacked, czyli pułapka adminów.

W mojej opinii umieszczenie hasła „admin1” na serwerze na którym znajdowała się strona Premiera Rządu RP, było celowym działaniem administratorów tej strony mającym na celu złapanie „jeleni” po czym Rząd Polski mógłby triumfalne obwieścić w mediach fakt zdemaskowania włamywaczy, co też miało miejsce dzisiaj.  

Wielu administratorów sieci w celu zabezpieczenia się przed atakami stosuje prosty trick polegający na celowym słabym zabezpieczeniu jednej z maszyn, aby w ten sposób zidentyfikować źródło ataku oraz sposób jego przeprowadzenia. Uzyskane w ten sposób informacje są bardzo cenne ponieważ pozwalają administratorom lepiej zabezpieczyć sieć.

Sam stosowałem podobną metodę w mojej sieci osiedlowej. Polegało to na tym, że pewien zakres pasma (ok. 250 KB/s) pozostawał wcale, lub słabo zabezpieczony. Przez parę tygodni zaobserwowałem kilka prób włamania nieudolnych hakerów, którzy po złamaniu WEP’a śmiało korzystali z Internetu będąc przekonanymi, że trafili na sieć „nieużywaną”. W dwóch przypadkach okazało się, że włamywacze nie zmienili nawet adresu MAC sieciówki z której dokonywali ataku. Wystarczył wówczas jeden telefon do kumpla administrującego największą siecią bezprzewodową w okolicy, aby po podaniu mac adresu dowiedzieć się kto dokonał ataku na moją sieć. W pozostałych przypadkach było znacznie łatwiej, ponieważ włamywacz po nabraniu zaufania do mojej „fejkowej” sieci logował się na fejsa, nk i inne portale, nie dbając przy tym o podstawy bezpieczeństwa. Krótka analiza pakietów pozwoliła szybko zidentyfikować konkretną osobę.

Wizerunek a sprawa odbioru społecznego.

Ktoś mógłby powiedzieć, że ze względów wizerunkowych, narażanie stron internetowych kancelarii Premiera na łatwy atak ze strony hakerów byłoby nieroztropnym posunięciem. Owszem, ale w tym konkretnym przypadku nie jest to takie jednoznaczne. Dlaczego? Musimy spojrzeć na sprawę z punktu widzenia poniesionych strat i odniesionych korzyści.

Stratą będzie niewątpliwie przez kilka dni posługiwanie się w mediach określeniami: „strona Premiera zaatakowana”, „słabe zabezpieczenia stron rządowych” itp, sugerujące pewną słabość Rządu w tym zakresie. Jednak zastanówmy się przez chwilę kto i w jaki sposób odbiera te informacje. Dla młodych ludzi (internautów) będzie to powód do śmiechu. Dla osób „starszej daty” będzie to natomiast niewiele znaczący news ponieważ zdecydowana większość z nich NIGDY nie miała do czynienia z Internetem a komputer stanowi dla nich narzędzie tabu. Dla tych ludzi coś takiego jak „atak cybernetyczny” jest mało przekonywującym wydarzeniem, bo nie jest namacalnym, dzieje się gdzieś w bliżej nieokreślonej „cyberprzestrzeni”. Oni nie rozumieją Internetu, nie znają się na tej technologii, bezpośrednio nie korzystają z niej na co dzień, nie znają obsługi komputera itd.

Dla nich ważniejsze jest za to ujęcie sprawców włamania/ataku i jest to dla elektoratu bardziej przekonywujące wydarzenie. Dlatego mając świadomość tego czym się dysponuje (sprzęt, informatycy) i jaka skala zagrożeń czyha ze strony cyberprzestępców, lepiej jest się „podłożyć” aby potem kosztem jakiś „hakierów” z bożej łaski na podobieństwo tych włamujących się do mojej sieci osiedlowej o czym wspomniałem powyżej, móc triumfalnie obwieścić narodowi, że sprawcy zostali ujęci. Pokaże się przy tym przebitki rąk skutych kajdankami, zamykanie dużych okratowanych drzwi, zaglądanie kamerą przez kukiel do celi w której przy oknie ze spuszczoną głową stoi młody człowiek. To trafia do ludzi bardziej!

W ten sposób przy pomocy mediów Rząd kolejny raz pokaże swoją siłę i sprawność działania. Rzecznik Rządu oznajmi zdecydowanym głosem, że pomimo tak zmasowanego i trudnego do obrony ataku, udało się ująć sprawców. Premier w pobłyskującym granatowym garniturze na tle pobłyskujących flag Polski i UE w błysku fleszy, odwracając głowę raz na lewo a raz na prawo, z triumfalnym wyrazem twarzy będzie po raz kolejny zapewniał o zdecydowanej, twardej i niezłomnej postawie Rządu w walce z aktami łamania prawa. Aż na usta będą się cisnąć słowa towarzysza pierwszego sekretarza, który przed laty podczas wydarzeń czerwcowych w Radomiu, grzmiał z trybuny: „ktokolwiek podniesie rękę na Rząd, ręka ta zostanie mu odrąbana!”

Na koniec chciałem dodać, że prawdziwie niebezpieczni cyberprzestępcy raczej nie ujawniają swojej działalności oraz co gorsze, ich się nie ujawnia. Dlaczego? Ponieważ wykorzystują oni swoje umiejętności w ściśle określonym celu, np. pozyskując cenne informacje stanowiące tajemnicę handlową firmy. Informacje te są potem odsprzedawane konkurencji która jest skłonna zapłacić za to dużo pieniędzy. Z kolei zaatakowane firmy nie są skłonne oznajmiać, że w wyniku ataku informatycznego skradziono im cenne dane gdyż nie budzi to zaufania kontrahentów.

17 komentarzy:

  1. Rzad pokaze sile? Chyba w przelozeniu na policyjna pale! Reszta cudownego pojmania to zasluga srodowiska, ktoremu wadzil ow ujety cracker.

    OdpowiedzUsuń
  2. @Rafał

    Na pokazanie siły poprzez "policyjną pałę" to jeszcze w Polsce przyjdzie czas. Teraz w użyciu jest medialna maszyna propagandy, manipulacji i kłamstwa.

    Jeśli "środowisko hakerów" wydało tego gościa, to może i dobrze zrobili, bo trzeba być wyjątkowym tępakiem i przez to niebezpiecznym dla reszty środowiska, aby podczas ataku na stronę rządową kontynuować atak przy haśle "admin1". Przecież ten wyraz znajduje się w każdym słowniku przeznaczonym do ataków słownikowych! Przecież to śmierdzi na kilometr!

    Jest nagonka na Anonymous, bo ludzie muszą mieć namacalnego wroga którego polityk może wskazać w telewizji palcem aby uzasadnić wprowadzenie prawa kontrolującego obywateli. Rzecz jasna "dla dobra ludzi".
    Celowo postawili takie hasło aby złapać jelenia którego mogą teraz pokazać ludziom w telewizji. Mogli sobie pozwolić na taką prowokację, bo na tych serwerach nie było żadnych istotnych informacji, natomiast wizerunkowa korzyść z ujęcia takiego z bożej łaski hakera jest znacznie większa, niż jakaś śmieszny obrazek na stronie Premiera.

    Nie dokonuje się ŻADNEGO ataku jeżeli hasło brzmi "admin1" bo to ściema i prowokacja!!! Tym bardziej nie robi się tego atakując stronę rządową! Trzeba chwilę pomyśleć. Ale ja wiem, że w dobie fejsa i NK potrzeba przygwiazdorzenia jest silniejsza. Można napisać koledze na IRC'u, że się pokonało cały rząd i było sprytniejszym od wszystkich anonów świata. To jest kurwa lans! Wszystkie laski jego!

    OdpowiedzUsuń
  3. Hasło było wyciągnięte przez sql injection więc atak był i nie było to zwykłe trafienie hasła.

    OdpowiedzUsuń
  4. @up
    Przy sql injection nie od razu wyciągniesz hasło musieli jeszcze odgadnąć nazwy tabel z bazy itd. Już po tym powinni się byli kapnąć, że to jedna wielka ściema a nie zabezpieczenie strony rządowej. Co do hasła to nie wiemy czy było gołe czy zakodowane, ale w tym przypadku nie ma to znaczenia, bo zanim dotarli do hasła już powinni byli wiedzieć żeby dalej w to nie brnąć.

    OdpowiedzUsuń
  5. było zahaszowane z tego co sie orientuje

    OdpowiedzUsuń
  6. Do Macierewicza na staż aplikuj, zrobisz karierę w wymyślaniu głupot :)

    OdpowiedzUsuń
  7. """Wystarczył wówczas jeden telefon do kumpla administrującego największą siecią bezprzewodową w okolicy, aby po podaniu mac adresu dowiedzieć się kto dokonał ataku na moją sieć.""" -- takie coś jest karalne

    OdpowiedzUsuń
  8. Mądrze powiedziane, przytakiwalem to czytając, dziękuję bardzo za ten artykuł :)

    OdpowiedzUsuń
  9. @Adam Michał Ziaja
    A to co oni robili włamując się do sieci, to nie jest karalne? ;)

    OdpowiedzUsuń
  10. Teoria taka dość mocno podszywana spiskiem, ale każdy ma prawo do własnych domysłów....

    OdpowiedzUsuń
  11. @"Nie dokonuje się ŻADNEGO ataku jeżeli hasło brzmi "admin1" bo to ściema i prowokacja!!! "

    Ktoś tu za bardzo wierzy w ludzi. Hi hi.

    Czy autor twierdzi, że postity z loginami i hasłami do kont pocztowych & whatnot przyklejone do monitorów w KPRM to również prowokacja? I specjalnie pozuje się reporterom Gazeta.pl w taki sposób, aby te hasła były później widoczne na zdjęciach?

    I pewnie jeszcze żadnej brzozy nie było?

    OdpowiedzUsuń
  12. @ema

    Mieszasz dwie rzeczy. Co innego głupi polityk "starej daty" co to komputer dla niego narzędziem tajemnym i wiecznie zajęty nie ma czasu uczyć się podstawowych zasad bezpieczeństwa dlatego przykleja kartki z hasłami na komputerze, a co innego administrator sieci/serwera strony rządowej. Na prawdę uważasz tych informatyków za idiotów? Przecież to nie ciemny polityk administruje sieciami rządowymi!

    Dla jasności. Ja ABSOLUTNIE nie bronię tutaj nikogo. Mój artykuł jest próbą spojrzenia na sprawę trochę z szerszego punktu widzenia, który może jest trochę pod włos "mainstreamowi" ostatnich dni, gdzie ma być polityk z hasłem "admin1" vs. haker bohater i żadnej refleksji.

    OdpowiedzUsuń
  13. @"Na prawdę uważasz tych informatyków za idiotów? Przecież to nie ciemny polityk administruje sieciami rządowymi!"

    Obawiam się, że właśnie tak uważam.

    OdpowiedzUsuń
  14. @ema

    Nie chciałbym być źle zrozumiany. Tego ataku NA PEWNO dokonała zdolna osoba, ale w mojej opinii popełniła błąd lekceważąc przeciwnika. Z resztą nie tylko jego zlekceważyła, bo przecież wydało ją "środowisko" więc i im zalazł za skórę. Na pewno go ostrzegali żeby nie robił tej głupoty, bo wątpię aby byli to tacy "huje" którzy wydają jednego ze swoich bez ostrzeżenia.

    Z resztą kto go wydał i czy nie jest to próba podzielenia "środowiska" to już inna sprawa. Nie chciałbym rozwijać teorii spiskowych, ale co to za problem napisać, że to "środowisko" go wydało? Jak się ma "środowisko hakerów" bronić w tej sytuacji? Może rzecznik prasowy hakerów wystąpi na konferencji prasowej z oświadczeniem, że to nie oni :)

    OdpowiedzUsuń
  15. Ponieważ przycisk Odpowiedz chyba dla mnie nie działa, odpowiem na zarzuty "Anonimowego"
    "@up
    Przy sql injection nie od razu wyciągniesz hasło musieli jeszcze odgadnąć nazwy tabel z bazy itd. Już po tym powinni się byli kapnąć, że to jedna wielka ściema a nie zabezpieczenie strony rządowej. Co do hasła to nie wiemy czy było gołe czy zakodowane, ale w tym przypadku nie ma to znaczenia, bo zanim dotarli do hasła już powinni byli wiedzieć żeby dalej w to nie brnąć."

    Otóż... nie musieli zgadywać nazw tabel. Wystarczy proste SELECT * FROM *.

    OdpowiedzUsuń
  16. Jak to pan haker powiedział nic mu nie mogą zrobić.
    -łączysz się przez modem/kartę starter za 5zł
    -zmieniasz tymczasowo MACadres
    i jesteś niewykrywalny. Nawet nie trzeba proxy. W razie wtopy dyski w truescrypcie (tak jak pan haker) i póki się nie przyznasz w sądzie jesteś bezpieczny.
    boglenistwa.blogspot.com

    OdpowiedzUsuń
  17. @dzień bez przygody

    Inna sprawa, że to co dostały media na pożarcie i co zostało upublicznione w tej sprawie, to dla Sądu są "dowody z dupy". W ogóle te wszystkie "dowody" mogą być od początku do końca wyssanymi z palca banialukami które mają służyć wyłącznie jako medialny dowód. Bo co tu potwierdza prawdziwość dowodów? News w wiadomościach? Bez jaj.

    OdpowiedzUsuń