Kulisy sławnych włamań #2
Transkrypt
Kulisy sławnych włamań #2
Your Logo Here Zimowisko Linuksowe 2014 Marcin Stępnicki Kulisy sławnych włamań #2 Silkroad LOGO ● Dread Pirate Roberts - Ross William Ulbricht ● Expectations: Silkroad ● Reality LOGO Silkroad LOGO ● sprzedaż: 1.2 mld $. Narkotyki, dokumenty, usługi czarnorynkowe. ● Monitorowanie aktywności DPR na forum, ● Przechwycenie zawartości dysków (włamanie do OVH): ● ● komunikacja DPR z administratorami nieszyfrowana, Zlecenie zabójstwa FriendlyChemista Źródło: http://www.scribd.com/doc/172764080/Ulbricht-Criminal-Complaint Silkroad ● Shroomery – altoid, 27.01.2011 ● Dane z wordpress.com ● Post na forum I came across this website called Silk Road. It's a Tor hidden service that claims to allow you to buy and sell anything online anonymously. I'm thinking of buying off it, but wanted to see if anyone here had heard of it and could recommend it. I found it through silkroad420.wordpress.com, which, if you have a tor browser, directs you to the real site at http://tydgccykixpbu6uz.onion. Let me know what you think... LOGO Silkroad ● LOGO Bitcointalk.org – altoid, ● Szukasz pracy? - [email protected] ● Dane użytkownika z Google ● Profil na Google+ i YT, zainteresowania – Mises ● IP z Gmaila / geolokacja – kolega z YT ● Strefa czasowa Silkroad ● LOGO Analiza serwera ● ● Dostęp dla konkretnego IP z VPNa z “certain server-hosting company”. Połączenie z VPNem z IP kawiarenki z San Francisco. Przesyłka z fałszywymi ID Silkroad ● LOGO Stack Overflow: ● ● Konto Ross Ulbricht, pytanie o Hidden Services z kodem Zmiana nicka i maila na “frosty” - 1 min. później ● Ten sam kod na serwerze ● frosty@frosty - klucze ssh Wikileaks ● Cables.csv ● Daniel Domscheit-Berg & David Leigh LOGO Wikileaks LOGO The Guardian journalist had to set up the PGP encryption system on his laptop at home across the other side of London. Then he could feed in a password. Assange wrote down on a scrap of paper: ACollectionOfHistorySince_1966_ToThe_PresentDay#. “That’s the password,” he said. “But you have to add one extra word when you type it in. You have to put in the word ‘Diplomatic’ before the word ‘History’ Can you people to theremember that?” “I can remember that.” Leigh set off home, and successfully installed the PGP software. He typed in the lengthy password, and was gratified to be able to download a huge file from Assange’s temporary website. Then he realized it was zipped up – compressed using a format called 7z which he had never heard of, and couldn’t understand. He got back in his car and drove through the deserted London streets in the small hours, to Assange’s headquarters in Southwick Mews. Assange smiled a little pityingly, and unzipped it for him. Źródło: WikiLeaks: Inside Julian Assange's War on Secrecy, David Leigh, Luke Harding Fizyczne włamanie do Selective Service ● https://www.schneier.com/blog/archives/2014/02/1971_social_eng.html LOGO OVH ● ● ● LOGO Silkroad, Freedom Hosting, Tormail Incydent parę dni po przechwyceniu przesyłki do DPR – przez konto pracownika, 10 lipca Lista klientów, serwer z domyślnymi kluczami ssh OVH ● ● ● ● Między 22 lipca 2013 a 2 sierpnia 2013, w powiązaniu z innym śledztwem, FBI otrzymało w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją kopię komputera zlokalizowanego we Francji, który zawierał dane i informacje z serwera poczty Tormail, włączając w to zawartość skrzynek pocztowych Tormail. W oparciu o Traktat o Wzajemnej Pomocy Prawnej 23 lipca lub w okolicy tego dnia wykonano, a następnie przekazano FBI, obraz serwera www Silk Road. OVH: W ciągu ostatnich kilku miesięcy mieliśmy do czynienia z kilkoma postępowaniami prawnymi związanymi z użyciem sieci Tor do rozpowszechniania pedofilii i obecnie zakazujemy korzystania z niej tak jak i z innych systemów anonimizujących. Zwiększają one poziom nadużyć oraz ilość zapytań organów ścigania. FBI w oficjalnym komunikacie dziękuje francuskiemu oddziałowi ds. zwalczania przestępczości internetowej za wsparcie w sprawie Silk Road źródło: Zaufana Trzecia Strona ● LOGO Anakata ● Applicate - InfoTorg ● 5 adresów z Ludviki – diROX ● Dane o sobie Źródło: http://zaufanatrzeciastrona.pl/historia-pewnego-wlamania/ LOGO Anakata ● ciekawość to pierwszy stopień do piekła LOGO Anakata ● ● ● LOGO tlt @ #hack.se diROX miał dostęp do serwera od 2010 roku FTP AVIY356 – konto szwedzkiego parlamentu do automatycznego transferu plików ● klon konfiguracji ● exploity: HTTP i CNMUNIX Anakata ● Follow the white rabbit LOGO Anakata ● Konta 120000 użytkowników ● Manipulacja uprawnieniami ● Backdoory: LOGO ● Dodatkowy serwer /bin/sh w inetd ● CSQXDISP: połączenie poza firmę na port 443 ● Własny klucz dopisany do .ssh/authorized_keys Anakata ● Używane toole: ● REXX ● HLASM (asm z/Architecture) ● JCEL LOGO Anakata ● Analiza – diROX, logi #hack.se LOGO Anakata ● <tlt> port 443: listening. ● <tLt> waiting for the APTback<TM>... ● <tLt> alert!!! advancing port 443 threat! ● <tLt> accepted persistent tcp connection from 93.186.170.54:26773 ● <tLt> $APTM1337 ENTERING ADVANCED PRINTER/TYPEWRITER MODE ● <tLt> pwd ● <tLt> uname -a ; id ● <tLt> 0S/390 SYS19 22.00 03 2817 ● <tLt> uid=2147483647(BPXDFLTU) gid=548400(E484) ● <tLt> chmod 755 /tmp/duku ● <tLt> l3tz g3t us s0m3 0f d4t r00t!@# ● <tLt> eu: 0 u: 0 g: 0 ● <tLt> g0t r00t ? ● <tLt> id ● <tLt> uid=0(SUPERUSR) gid=0(STCGROUP) groups=548400(E484) LOGO Anakata ● ● LOGO Połączenia z Kambodży do serwerów Logica Wyszukiwania w InfoTorg – konto Monique Wadstedt (prawniczka vs TBP) + anakata ● Przechwycenie dysków: TrueCrypt ● Przechwycenie laptopa + logi ● Deportacja Anakata ● LOGO Nordea ● ● Te same exploity co w Logica Bank nie poinformował policji mimo przelewów na 3mln PLN z cudzych rachunków – z wyjątkiem pierwszego resztę zablokowano ● Atak z terminala, nie przez interfejs www ● Wszystkie zrzuty ekranu były na dysku Anakata ● Terminal LOGO Anakata ● Dodatki – sprawa w toku: ● System duńskiej policji ● Baza duńskich praw jazdy ● System Informacyjny Schengen LOGO Gówniana sprawa ● Bidet, woda, suszarka, klapa ● Źródło: Niebezpiecznik.pl LOGO Kupowanie tożsamości ● Ssnob.ms (0.50$ - 15$) ● UGNazi → exposed.su , dla celebrytów ● Ssnob hacked, baza wykradziona ● Własny botnet Źródło: Krebs on Security LOGO Kupowanie tożsamości ● ● ● ● LOGO … on-demand employment background screening, drug and health screening, and employment eligibility solutions that help employers automate, manage and control employment screening and related programs LexisNexis provides information to business, government and legal professionals for legitimate, approved purposes. This information includes public records, other publicly available information and some non-public information. Examples of public records include the following: Judgments and Liens, Secretary of State filings, Uniform Commercial Code filings, U.S. and Canadian business finder directories, Dun & Bradstreet Global Market Identifiers Worldbase, Experian Business Reports, Fictitious Business Name Information (DBA or doing business as), Dun & Bradstreet Federal Employer Identification Numbers, the Franchise Index, an inactive business index, tax liens, Securities of Exchange Commission Form 4 abstracts, FAA aircraft registrations D&B is the world's leading source of commercial information and insight, enabling companies to Decide with Confidence® since 1841. D&B's global commercial database contains more than 225 million business records, which we compile through a wide variety of commercial partners and public sources. Kupowanie tożsamości ● ● LOGO Dane o historii kredytowej ważne przy przyznawaniu nowych kredytów ● U kogo? Ile? Ostatnia rata? Poprzedni adres? Itd. ● Więcej błędów u prawdziwych klientów Inne dane do uwierzytelniania Kupowanie tożsamości ● Baza: LOGO Kupowanie tożsamości ● ● ● ● LOGO Atak na serwery webowe, niezałatane Coldfusion - z nich dostęp do wewnątrz, Dodatkowa aplikacja – komunikacja z wewnątrz sieci do kontrolera na zewnątrz, Reseller dla innych – kolejne źródło dochodu, Raporty po usunięciu zagrożenia nadal generowane “from law student ID” Kupowanie tożsamości ● LOGO Kupowanie tożsamości ● Dodatek: ● National White Collar Crime Center ● Internet Crime Complaint Center ● Niezałatany serwer VPN → serwery webowe z niezałatanym Coldfusion ● http://www.exploit-db.com/exploits/24946/ ● http://www.exploit-db.com/exploits/25305 ● http://www.exploit-db.com/exploits/27755/ ● http://www.exploit-db.com/exploits/14641/ ● http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2861 LOGO Kupowanie tożsamości ● LOGO ‘I1211100143194982′, ‘Kernersville Police Dept.’, ’174.98.xxx.xxx’, ’2012-11-10 01:43:19′, ’2012-11-10 01:47:01′, ‘I was on an adult website (I don\’t know which one) when suddenly a screen popped up that had the FBI logo at the top and all this information about my having violated copyright laws or child pornography laws and my computer had been locked by the FBI and if I didn’t pay a $300 fine within 72 hours by MoneyPak a criminal charge would automatically be filed and I would go to prison for 2 to 12 years. Konto na Twitterze ● Scenariusz: ● ● ● Konto @n na Twitterze Mail podpięty pod domenę zarezerwowaną na GoDaddy Konto PayPal LOGO Konto na Twitterze ● Najlepsze urządzenie hakerskie LOGO Konto na Twitterze ● ● LOGO Telefon do Paypala jako pracownik → 4 ostatnie cyfry karty Telefon do GoDaddy → “zagubienie” karty, 4 ostatnie+2 pierwsze cyfry → reset hasła ● Zmiana DNSa w GoDaddy ● Inicjalizacja resetu hasła na Twitterze ● Wolna propagacja DNSa ● Mail od włamywacza Konto na Twitterze ● LOGO Sygnały: ● sms z PayPala – two-factor auth zadziałał, ● Logowanie na maila – mail z GoDaddy ● Telefon do GoDaddy – dane już zmienione ● Konto zostało oddane w zamian za hasło do GoDaddy Źródło: http://niebezpiecznik.pl/post/jak-przejac-czyjes-konto-na-twitterze-nie-znajac-hasla/ Hack The Planet ● .edu – EDUCAUSE ● ● Pierwsze logowanie udane we can't say we expect much from a registrar running ASPX on their backend - zmiana DNSów MIT na Cloudflare ● Zmiana rekordu MX ● root server Źródło: http://www.exploit-db.com/papers/25306/ LOGO Hack The Planet ● Drobna zmiana Domain Name: MIT.EDU Registrant: Massachusetts Institute of Technology Cambridge, MA 02139 UNITED STATES Administrative Contact: I got owned Massachusetts Institute of Technology MIT Room W92-167, 77 Massachusetts Avenue Cambridge, MA 02139-4307 UNITED STATES (617) 324-1337 [email protected] Technical Contact: OWNED NETWORK OPERATIONS ROOT US DESTROYED, MA 02139-4307 UNITED STATES (617) 253-1337 [email protected] Name Servers: FRED.NS.CLOUDFLARE.COM KATE.NS.CLOUDFLARE.COM Domain record activated: 23-May-1985 Domain record last updated: 22-Jan-2013 Domain expires: 31-Jul-2013 LOGO Hack The Planet ● Korespondencja From: "CloudFlare Support" <[email protected]> Subject: [CloudFlare Support] Pending request: Why is cloudflare staff modifying my dns records? (ticket #12053) Date: Wed, January 23, 2013 4:48 pm To: "Fuckmit" <[email protected]> Justin, Jan 22 11:48 am (PST) Hi, We have reason to believe you are not the actual owner of the mit.edu domain. We have been in contact with the actual owner this morning. As such we have taken steps to secure the account, and the domain has already been returned to the actual owner. ---------------------------------------------Fuckmit, Jan 22 11:45 am (PST) Two questions: Why is cloudflare staff modifying my dns records without authorization? Why is cloudflare staff repeatedly regenerating my API key every time they decide to modify my dns records without authorization? LOGO LOGO THE END