AntiSec objavil deset gigabajtov policijskih podatkov

Sem, pa me zanima, objava katerega dela podatkov to kvalificira kot "čisto zlo"? Viagra spama, ki so ga dobivali šerifi? Njihovi stari passwordi? Morebitni osebni podatki, ki se tam skrivajo? Ali pač vsebina sama nima veze?

Mene pa zanima, če kdo ve, kakšnih tehnik se poslužujejo ti hekerji. Novice dajejo občutek, kot da lahko vdrejo povsod, kamor si zmislijo, in da jim to nikoli ne vzame več kot 5 minut časa. Iz tega sklepam, da izkoriščajo ZNANE ranljivosti RAZŠIRJENE infrastrukture (kaj takega, kot je npr. Apache, IIS, PHP, .NET, Ciscovi routerji, ipd.).
Težko si predstavljam, da je kakorkoli drugače in da ti mladeniči kot po tekočem traku odkrivajo zelo skrite in neznane ranljivosti v neki redki (lastniški) infrastrukturi.

Če je dejansko res, da izkoriščajo znane ranljivosti, se meni poraja vprašanje, kako je mogoče, da programska in/ali strojna oprema, ki jo uporablja ves svet, ne pokrpa svojih lukenj? In to so gotovo luknje, za katere izdelovalci vedo (če do informacij o luknjah lahko pride 16-letna mularija, verjetno lahko tudi strokovnjaki za varnost v teh podjetjih).

Sam sem se v preteklosti nekaj ukvarjal s hekanjem, bolj za hec kot zares. Moje znanje na tem področju je bilo precej omejeno, poznal sem vsega par trikov, za kaj bolj poglobljenega nisem imel niti časa niti interesa. Imel sem občutek, da tovrstne luknje puščajo samo zelo amatersko narejeni in površno vzdrževani sistemi, kakršnih je bilo s časom vedno manj, ker infrastruktura postaja vedno bolj zrela in ker se s časom širi znanje o informacijski varnosti in ljudje na to bolj pazijo. Očitno sem se zmotil dandanes ni nič težje vdreti v nek sistem kot pred davnimi leti, ko je redkokdo sploh razmišljal o informacijski varnosti...

Čisto zlo je kar je delal desničarski ekstremist Breivik na Utoyi. Pa kar so ZDA počele v Faludži. Tole je pa daleč od čistega zla. In ja - bistveno tukaj je, ZAKAJ je prišlo do tega.

P. S. Ko nekdo odda prijavo... zakaj hudiča je treba njegove podatke hraniti na web serverju???

P. S. Ko nekdo odda prijavo... zakaj hudiča je treba njegove podatke hraniti na web serverju???

Sej se jih ne, prijava se pošlje na mail ustrezni osebi...

Jumping Jack je 7. avg 2011 ob 18:25 izjavil:

Če je dejansko res, da izkoriščajo znane ranljivosti, se meni poraja vprašanje, kako je mogoče, da programska in/ali strojna oprema, ki jo uporablja ves svet, ne pokrpa svojih lukenj? In to so gotovo luknje, za katere izdelovalci vedo (če do informacij o luknjah lahko pride 16-letna mularija, verjetno lahko tudi strokovnjaki za varnost v teh podjetjih).

Ti, ti pa obvezno preberi moj post.

A common misconception is that if groups or individuals keep exploits and security secrets to themselves, they will become the dominators of the "illegal scene", as countless insecure systems will be solely at their mercy. This is far from the truth. Forums for information trade, such as Bugtraq, Packetstorm, www.hack.co.za, and vuln-dev have done much more to harm the underground and net than they have done to help them

To kar je bilo storjeno, je seveda narobe. Gotovo pa to ni čisto zlo. Čisto zlo je kontapunkt čiste dobrote. Brez pripisovanja zaslug, brez pričakovanja nagrade,... Precej redka stvar.
Težava tu je v "maščevalnem obsegu", ki je odločno prevelik. Če bi na nelegalen način AntiSec prišli do podatkov, ki se tičejo nelegalnega delovanja posameznikov ali institucij in jih bi objavili, bi zadeva še nekako bila podobna nekemu Robin Hood-u. Tako pa gre za neko dejansko, sicer nenamensko, napoved vojne, katere rezultat zna biti za slehernika precej neprijeten. Tu mislim seveda na nekatere jastrebe v administracijah "svobodnih" držav, ki jim taka razkritja hodijo hudo na roko saj jim kar sama polagajo argumente, da je "odprt" internet nevaren. Seveda jastrebi se ne ozirajo nazaj kako "odprto" pa so bili podatki varovani,... Ko so pridobili podatke bi se AntiSec morali vprašati kaj res delajo z razkritjem vseh operativcev, ki zadeve čisto legalno furajo in pri tem tudi verjetno veliko tvegajo. Morda bi si morali vzeti čas in zadeve pregledati in če so kakšne stvari potencialno izven zakona jih raziskati in nato morda objaviti. Seveda to ne gre kar z danes na jutri, pa dobiti zajetno število pravnikov, ki bi bili zadevo sposobni pregledati tudi ni tako lahko.
Ah ja, morda je hardcore cenzuriranje interneta tudi na zahodu s tem še en lep korak bližje.

evo da se ne boste prerekali okol morale dejanja, vam dam lep primer: na starem Kliku od NLB se je dal nardit tole:
- preberi url: http://[blaabla]?messageid=xxx&global=t...
- popravi xxx na poljubno celoštevilsko vrednost
- popravi glabal=false
- pritisni enter

Uala, prikaže se privatno sporočilo banke uporabniku ali obratno, z vso vsebino, internimi številkami kartic, imeni, priimki, ni da ni.
A sem ravnal prav, da nekaj let tega nisem dal v javnost? Pač nisem uporabljal sporočil v kliku, je blo še najbolj zihr...
Za vse, ki se sprašujete, zakaj nisem sporočil banki: za izkoristit ranljivost se je bilo potrebno prijavit v sistem, vsak url request se skoraj zagotovo beleži in povedal sem vsakemu, ki se mu je dalo poslušat.

K sreči v novi verziji Klika ranljivost ne deluje več.
Eden izmed scenarijev, kaj bi se zgodilo, če bi dal to informacijo v javnost:
- sporočim banki
- banka me obtoži in ranljivost javno zanika
- izpadem kriminalec
Da ne bo pomote, to so enkrat že naredili tistemu vojaku. Lahko bi ga obravnavali drugače. (Naredil je samomor)

Funny kako je nekaterim jasno, da je tole čisto zlo, narobe, na strani slabega, ipd.

In smešno, kako ti ljudje IMO še prdnili niso v smeri, da bo se kaj ukrenilo glede Manninga (če se že omenja v novici). To je namreć evidentna svinjarija oz. čisto zlo, ki se dogaja v demokratičnem sistemu. Mal dvolično si upa folk gobcat.

Če bi na nelegalen način AntiSec prišli do podatkov, ki se tičejo nelegalnega delovanja posameznikov ali institucij in jih bi objavili, bi zadeva še nekako bila podobna nekemu Robin Hood-u.

Ce bi to nardili bi cez dober teden posilili dve Svedinji...

Matako je 7. avg 2011 ob 01:23 izjavil:

To je bila neumna poteza. Če se komu od razkritih ljudi kaj zgodi, je obtožnica (za umor oz kaj manj hudega) praktično zagotovljena.

Kakšne otročarije lahko človek prebere. A če te bo nekdo zatožil in boš ti zvedel, kdo te je, in ga boš šel ubil, bo kriv tisti, ki te je zatožil? Če nekdo nima v glavi urejeno in gre nekoga ubit, ne more biti kriv nihče drug.

antonija je 7. avg 2011 ob 12:56 izjavil:

Prou res ne morem verjet, da vecina misli, da brez tegale pa npr. mafia (z milijardami dolarjev budgeta in zelo zelo dobrim interesom pridet do takih podatkov) teh podatkov (se) nima? Se v najbolj patriotskih US filmih z Brucom Willisom na celu bi jih imeli...

Ker mafiji je tak problem par folka nastavit v policijo, pa se za kaj takega sploh vedelo nebi.

Čisto zlo je kar je delal desničarski ekstremist Breivik na Utoyi. Pa kar so ZDA počele v Faludži. Tole je pa daleč od čistega zla. In ja - bistveno tukaj je, ZAKAJ je prišlo do tega.

Payback issa bitch, zato :))

>>
A week after we defaced and destroyed the websites of over 70 law enforcement
agencies, we are releasing a massive amount of confidential information that is
sure to embarass, discredit and incriminate police officers across the US. Over
10GB of information was leaked including hundreds of private email spools,
password information, address and social security numbers, credit card numbers,
snitch information, training files, and more. We hope that not only will
dropping this info demonstrate the inherently corrupt nature of law enforcement
using their own words, as well as result in possibly humiliation, firings, and
possible charges against several officers, but that it will also disrupt and
sabotage their ability to communicate and terrorize communities.

We are doing this in solidarity with Topiary and the Anonymous PayPal LOIC
defendants as well as all other political prisoners who are facing the gun of
the crooked court system. We stand in support of all those who struggle against
the injustices of the state and capitalism using whatever tactics are most
effective, even if that means breaking their laws in order to expose their
corruption. You may bust a few of us, but we greatly outnumber you, and you can
never stop us from continuing to destroy your systems and leak your data.

We have no sympathy for any of the officers or informants who may be endangered
by the release of their personal information. For too long they have been using
and abusing our personal information, spying on us, arresting us, beating us,
and thinking that they can get away with oppressing us in secrecy. Well it's
retribution time: we want them to experience just a taste of the kind of misery
and suffering they inflict upon us on an everyday basis. Let this serve as a
warning to would-be snitches and pigs that your leaders can no longer protect
you: give up and turn on your masters now before it's too late.

Rok Woot je 8. avg 2011 ob 02:05 izjavil:

PS Men se zdi pa zlobno da gredo radijski valovi nad mojo bajto, pa da ljudje vozijo avtomobile.

Preseli se v Afriko.

Kar se tice odgovornosti ljudi, ki objavljajo podatke, ki ogrozijo zivljenje drugih ni dvoma. Ce kdo objavi podatke ovaduhov, agentov pod krinko in podobnih, s tem ogrozi njihovo delo in zivljenje. Ze samo objava takih podatkov mora biti STROGO kaznovana, ker ogrozi celotne operacije, zivljenja ljudi in vecletno delo.

Hacktivism with a cause:

Syrian DoD. The site is temporarily unavailable.

digitalcek je 7. avg 2011 ob 15:34 izjavil:

Nič ne stokam. In tudi navdušen nisem nad Američani.

Ampak mi gredo po drugi strani nekateri, ki bi se stalno nekomu maščevali, nagajali in delali pi-darije zelo na ud.
Taki tudi razbijajo stekla na vtomobilih (seveda tujih), obračajo kontejnerje s metmi, kakšnega mimoidočega tako za hec malce nalomijo. Takim ne pomaga nobena terapijo, pa tu škoda denarja je za take. Kot rečeno: Afganistan...

Če je zaščita, ni pi-darij. Če pa že o Afganistanu, si ga zasluži kvečjemu Murko, zaradi zločinov proti človečnosti.