SecurityWeek - Zanimiva prigoda: 26-letni računalnikar Attila Németh je svoje znanje o informacijski varnosti skušal pretvoriti v službo v IT oddelku mednarodne hotelske verige Marrott, žal brez uspeha. Po pristanku v DC-ju ga je namesto predstavnika hotela sprejel uslužbenec tajne policije in mu po krajšem samoobtožilnem intervjuju pokazal pot naravnost pred sodnika.
Attila se je iskanja službe lotil skrajno resno. Prečesal je spletne strani hotela in zbral vse mogoče e-poštne naslove zaposlenih (več kot sto njih), nato pa jim večkrat poslal uradno izgledajoč email z okuženo priponko. Ko je eden od zaposlenih pošto vendarle odprl, mu je s tem podaril stranski vhod (backdoor) v hotelski informacijski sistem. Tam se je dodobra sprehodil naokoli in na svoj strežnik na Madžarskem prenesel več ducat "zanimivih" internih dokumentov. Zadovoljen s samim sabo je spisal še en email, tokrat Mariottovemu HR (human resources) oddelku, kjer se jim je ponudil za IT-jevca in kot referenco na kratko opisal svoja opažanja o njihovih strežnikih (kot neke vrste zastonj in white-hat varnostno analizo).
Marriot ga je prvič ignoriral, zato je v drugem emailu zaostril ton, priložil 8 ukradenih dokumentov in precej nespametno zagrozil z objavo vsega, kar ima - kar naj bi, po njegovih besedah - močno škodilo poslovanju in ugledu hotelske verige.
Ne ve se sicer, če je v skladu s kodeksov ugrabiteljev Mariottu prepovedal kontakt s policijo, a ti so jo vsekakor poklicali in dobili pomoč tajne policije (US Secret Service), ki sicer primarno skrbi za varnost predsednika ZDA, po spletu političnih okoliščin pa občasno prevzame tudi zadeve z informacijsko varnostjo in delovanjem bančnega sistema. Njihov agent je prevzel vso komunikacijo z Attilo in od njega dobil kup informacij, vključno s kopijo njegovega potnega lista. Na podlagi tega mu je "uredil delovno vizo in prihod v ZDA", kjer je Attila pristal januarja letos. Agent, oblečen kot uslužbenec hotela, je z njim opravil intervju, v katerem je razkril vse podrobnosti napada in, najbolj ključno, obseg dokumentov, ki jih je uspel dobiti. Sledil je stisk rok, nato pa, po pričavanjih, aretacija in srečanje s sodnikom. Dejanje je minuli teden priznal in bo do izreka kazni (februar 2012) ostal v priporu. Grozi mu 15 let zapora ter med 400 tisoč in milijonov dolarjev odškodnine, ki naj bi krila vse Marrittove stroške z njim (najem zunanjih varnostnih ekspertov ex post facto, pa to).
Zgodba je zanimiva iz več pogledov. Po eni strani je kar konkretno komična, spet po drugi kaže učinkovitost socialnega inženiringa, sploh z malo bolj targetiranim napadom, po tretji pa lepo ilustrira razmeroma tanko ločnico med varnostnim inženiringom in kaznivim dejanjem. Németh jo je brez vprašanj prestopil, ko pozornost začel iskati z izsiljevanjem za službo. O vsem tem bi verjetno marsikaj vedel povedati tudi naše gore list, Robert Škulj, ki je pred slabimi desetimi leti odkril manjšo varnostno pomanjkljivost pri prijavi v sistem NLB klik in jo potem skušal prodati NLB-ju za 500 kosov, brez posebnega uspeha.
Tako pač je, če so ljudje preveč aktivni, če jim ni dovolj profil na FB, spraševanje strička G. in pisanje nebuloz po forumih.
Eni si pač ne morejo kaj, da ne vrtajo in vrtajo, vdirajo in težijo. In sedaj se je Madžar očitno navrtal. Za kakšno desetletje ričeta. Hanžek pa v jok (človekove pravice do vrtanja, vdiranja v sisteme pa to...).
Srčno upam, da podobna usoda doleti večino ostalih "hiperaktivnih" spletarjev!
Nekaj podobnega sem jaz delal pred leti, ko so imeli še vsi wifi omrežja odprta in je bilo samo kul, če si imel brez kablov. Malo sem se prevozil po mestu z dlančnikom in skeniral wifi omrežja, ter prišel do skoraj vse sharanih mašin in njihovih podatkov. Naslednji dan sem rezultate pokazal podjetju, ki sem ga preskeniral in jim ponudil ustrezno zaščito. Se mi zdi, da od ene 20ih firm se jih je več kot polovica odločila, da jim uredim. Nekatera od njih še zdaj administriram :)
Ker nisi izsiljeval. Če bi jim rekel, da boš vse skupaj objavil in jim poslovno škodil bi te pa zaprli. Tale Madžar je zelo pameten kar se tiče ITja, na žalost pa izjemno zabit, kar se tiče poslovanja in pravnih zadev.
Tale Mandi mi gre že pošteno na k*. Bi preprosto ignoriral, če človek nebi pisal novic z zanimivo temo/zgodbo, tak pa se prisilim brat njegova skropucala, pa to. groza. Madžar ni najbolj trezno razmišljal. Dokumente pa najverjetneje še vedno ima (varno shranjene) in jih lahko konkurenci proda za nekaj denarja?
Mogoče so se včasih res uporabljali "kosi", ampak danes imamo malo drugačne enote za višje denarne zneske. Če se prav spomnim, je Škulj tako hotel 5 thalerjev oz. pribl. 7,6 virantov
Tako pač je, če so ljudje preveč aktivni, če jim ni dovolj profil na FB, spraševanje strička G. in pisanje nebuloz po forumih.
Eni si pač ne morejo kaj, da ne vrtajo in vrtajo, vdirajo in težijo. In sedaj se je Madžar očitno navrtal. Za kakšno desetletje ričeta. Hanžek pa v jok (človekove pravice do vrtanja, vdiranja v sisteme pa to...).
Srčno upam, da podobna usoda doleti večino ostalih "hiperaktivnih" spletarjev!
Ti si pa ne moreš pomagat, da ne bi tega nekako povezal s Facebookom. A si mogoče pomislil, da je trenutna situacija na Madžarskem precej slaba in je zato tip iz obupa poskušal biti iznajdljiv? Ah ne, ni mu bil dovolj facebook in forumi. Ti si en čuden tič, digitalcek.
Skret papirja. Nehajte ze s temi "piskotki" v novicah. Oz ce ze resno mislite, da ste duhoviti...prej preverite reakcijo na forumu.Mogoce bi blo fino met nek oddelek, kjer imate novice v preview...dokler se vsi do konca ne zventilirajo potem pa popravljeno "novico" objavite na prvi strani. Robert Škulj za moje pojme ni bil ne heker ne genij.In napaka definitivno ni bila na strani NLB-ja. Je pa genijalno prikazal kakovost porocanja nasih medijev.Ti so v istem tednu ali dveh ko je bila novica aktualna(pred "samomorom") dokazali, da slabo preverjajo "dejstva", ki jih uporabljajo v prispevkih. Kot da nimajo denarja za najem strokovnega mnenja.
http://slo-tech.com/clanki/var01/var01.... Škulj je Novi Ljubljanski banki ponudil odkup programa "Trojanski konj", s katerim je luknjo moč izkoristiti, ter zaščitni program, katerega je razvijal leto in pol, za 500.000 evrov. Po petih mesecih pogajanj v tajnosti je Škulja ob izhodu iz NLB pričakala policija, mu odvzela program ter ga aretirala zaradi izsiljevanja NLB.
Robert Škulj za moje pojme ni bil ne heker ne genij.In napaka definitivno ni bila na strani NLB-ja.
Brez skrbi, da je bil. Oboje.
Tipo je imel backdoor ki bi ga na črnem trgu komot prodal za par mio €. Večdesetkratnik tega, kar je zahteval od NLB, pa je vseeno pristopil do njih in jim ponudil odkup za majhne vsote. Kaj pa je pol mio € za banko lol.
Namesto tega so ga pof*kali in prijavili policiji. Če kaj, potem bi reku osebno, da je debil ker se je sploh pogojeval z banko. Moral bi direktno prodat naprej. Dobrota je sirota in sirota ni nič.
Banka v vsakem primeru ne izgubi nič, itak je vse zavarovano.
Tipo je imel backdoor ki bi ga na črnem trgu komot prodal za par mio €. Večdesetkratnik tega, kar je zahteval od NLB, pa je vseeno pristopil do njih in jim ponudil odkup za majhne vsote. Kaj pa je pol mio € za banko lol.
Za par milijonov? Ker se vsako sranje proda za tolk ane. Ali imaš kakšne dejansko informacije o tem "backdoor-u" iz katerih sledi zakaj bi bila zadeva vredna toliko?
kakor so bile govorice, je dobesedno prišel do računov strank. To pomeni da je z njih lahko nakazoval kamorkoli si je hotel. Kar bi po moje tudi moral naredit.
Danes bi bil živ, z jahto, na nekem otočku v Pacifiku. Pač še en primer slabe ocene situacije. Če bi pokradel denar firmam, ali celo državnim inštitucijam, bi trajalo kar nekaj časa da bi to pogruntali. Sploh državne inštitucije. Saj vemo zdaj za primer računovodkinj ...
Se čisto strinjam da je bil debil. Celo slovenski debil. Pošteni heker. Ga je po cankarjevsko mučil občutek krivde, ker je naredil nekaj kar ne bi smel. In se potem celo za to ustrelil ... Bolje da sploh tega ne bi počel, če ni mislil zaslužit. Škoda ga je pa vseeno. Mu nisem privoščil tega konca.
Poanta vsega je, če se lotiš ilegalnih dejanj, potem z njimi zasluži ilegalni denar. Tudi če ne boš nič zaslužil, boš šel v zapor. Tako da je tako ali tako vseeno.
"Life is hard; it's even harder when you're stupid."
kakor so bile govorice, je dobesedno prišel do računov strank. To pomeni da je z njih lahko nakazoval kamorkoli si je hotel. Kar bi po moje tudi moral naredit.
Ne, kolikor vem je pač "ugrabil" strankin browser (v konkretnem primeru svojega, oziroma od punce) in klikal okrog. Seveda je lahko takemu nesrečnežu nakazal kar hočeš, kamor hočeš. Ni pa imel kar neomejenega bazena strank! Kaj je kompliciran del posla? Klikat po browserju (bodisi na roke, bodisi programsko) ali prepričat naključne ljudi, da namestijo razno sranje na svoj računalnik?
Senitel narobe veš. Res je da ni imel neposrednega dostopa do računov, lahko pa je iz poljubnega računa izvajal transakcije. Ne pozabit, da takrat klik ni imel nobene prave zaščite (ključev,kartic itd.), če se prav spomnim si lahko do nekaterih strani dostopal tudi preko direktnega linka(tako kot letos v eni izmed tujih bank).
Njegov program je delal ravno to, iz računov je prenakazoval poljubne zneske, prikazal je prenos 1c iz 10ih računov,tako je na X račun dobil 10c. Tisto o ugrabljenem browserju pa se je šlo za zakrivanje prenosov, če je iz tvojega računa naredil prenos ti v tabeli izpiskov transakcij tega nisi videl. Ravno zato je tipo bil heker. Ker je tisto kar je začel, izpilil in dokončal. Pravtako ni bilo nobenega sistema, ki bi iskal takšne anomalije.
Grozi mu 15 let?! Tudi če bo manj se zgražam ko nekateri zločinci, ki dejansko naredijo hujše dejanje in potem odidejo brez kakšne hujše kazni ker so imeli dobrega odvetnika oz. "olajševalne okoliščine". Take kazni so absurdne.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.
Da se nekdo na tem polju drka s protokoli in njih pomankljivostmi do nezavesti, ne prebere pa zakonodaje in potem pade na tako foro, je pa tud smešno. če bi ga še kdo počil, bi lahko vsaj končal na Darwinawards.com
Ravno tako Škulj. AFAIK njegova pogruntacija ni bila nič tehnično posebnega, pravni nastop pa čisti debilizem. Da se greš takole bost s policijo in pravniškim teamom BANKE, pri tem pa uporabljaš "( domnevno) zdravo kmečko pamet" oziroma še bolje, njen nadomestek "pamet za ob kriglu pira", si pa tud idiot.
Pa tud tisti argumenti tipa "kaj pa je pol miljona € za banko" so v razpletu našli svoj odgovor.
Pol miljona na pol miljona na pol miljona... pa se že nabere za malico ali pa še kaj več...
Ravno tako Škulj. AFAIK njegova pogruntacija ni bila nič tehnično posebnega, pravni nastop pa čisti debilizem. Da se greš takole bost s policijo in pravniškim teamom BANKE, pri tem pa uporabljaš "( domnevno) zdravo kmečko pamet" oziroma še bolje, njen nadomestek "pamet za ob kriglu pira", si pa tud idiot.
niti ne to dokazuje prej večjo nesposobnost banke kot enga pikzigmarja. pa ves protokol njihovih vernih rešitev in dobrih praks katere se plačujejo v zlatu.
Senitel narobe veš. Res je da ni imel neposrednega dostopa do računov, lahko pa je iz poljubnega računa izvajal transakcije. Ne pozabit, da takrat klik ni imel nobene prave zaščite (ključev,kartic itd.), če se prav spomnim si lahko do nekaterih strani dostopal tudi preko direktnega linka(tako kot letos v eni izmed tujih bank).
Eh... (Klik je od samega štarta imel certifikate, bodisi direkt v browserju, bodisi na activecardu) Pa predpostavimo, da lahko jaz pošljem na server ukaz, da prenakažem 1c iz tvojega računa na moj račun in server to sprejme, čeprav račun iz katerega hočem nakazat ni moj. Kako točno potem izgleda ta program, ki je odpravil te pomankljivosti in ga je hotel prodat? Ker to da server sprejme stvari, ki jih nima za sprejemat, se reši tako da se ustreli nekoga na serverski strani in popravi server.
Tisto o ugrabljenem browserju pa se je šlo za zakrivanje prenosov, če je iz tvojega računa naredil prenos ti v tabeli izpiskov transakcij tega nisi videl.
Torej browser plugin, ki je v primeru, da je uporabnik trenutno na kliku in če slučajno gleda izpisek transakcij, pobrisal zlobne prenose iz html-ja?
Vidiš to pa naredijo mediji, on ni prodajal odrešitve ampak sam exploit,zato je tudi pogorel. Glede ugrabitve browserja pa nimam informacij na kak način se je dejansko izpeljalo. Mislim pa da nekaj takega kot si rekel.
Kako je pa s pravnega vidika v hipotetičnem primeru, da najdem varnostno pomanjkljivost v, recimo, spletnem bančništvu, pri tem ne ukradem nič, ne naredim nobene škode (npr. inštalacija trojanca), banke ne izsiljujem, samo obvestim jih in jim demonstriram zadevo. Ali me lahko strpajo v pržun, češ da sem počel nekaj, česar ne bi smel niti poskušati?
Kako je pa s pravnega vidika v hipotetičnem primeru, da najdem varnostno pomanjkljivost v, recimo, spletnem bančništvu, pri tem ne ukradem nič, ne naredim nobene škode (npr. inštalacija trojanca), banke ne izsiljujem, samo obvestim jih in jim demonstriram zadevo. Ali me lahko strpajo v pržun, češ da sem počel nekaj, česar ne bi smel niti poskušati?
Jp. Problem nastane, ko jih začneš izsiljevati (primer Madžara) ali pa nakazuješ cente sem in tja iz poljubnih računov, da dokažeš svoj prav. Saj je logično, vsaj moralo bi biti tako usposobljenim ljudem... I guess.
Tipo je imel backdoor ki bi ga na črnem trgu komot prodal za par mio €. Večdesetkratnik tega, kar je zahteval od NLB, pa je vseeno pristopil do njih in jim ponudil odkup za majhne vsote. Kaj pa je pol mio € za banko lol.
backdoor vreden par mio? HA HA HA. Ej...keylogger, ki ga moras potrditi prek browserje ti napise vsak programer na tem forumu.Najvecji strosek pri temu je certifikat, da podpises kodo.Pa se ta je nepotreben, ker ce je clovek dovolj neumen, da potrdi okno, kjer ti browser prav lepo pove, da je koda mogoce nevarna...bo ignoriral tudi opozorilo o neveljavnosti certifikata s katero je bil podpisan activex oz v modernejsih casih .net deployana aplikacija. Zadeva ne samo, da ni bila vredna 10 mio.Ni bila vredna niti jurja eurov.10 mio bi bila vredna slika urednika, ki je novinarjem pustil, da se tako globoko osmesijo pred ljudmi, ki vejo cisto malo vec kot povprecen uporabnik interneta. Ce bi imel trojanca za 10 mio...potem ne bi rabil izsiljevati NLB-ja.Bi sel na kaj bolj konkretnega.Recimo kaksno nemsko banko, ki bi placala ze zaradi ugleda.Tega NLB hvala bogu nima in mu tudi take kvazi "luknje" ne morejo skodovati.
Ce pa ze zelimo biti impresionirani nad slovenskimi hekerji...potem so bili poskusi ZA tem patetikom malce boljsi.Kot recimo, ko so pohekali par glavnih dns streznikov v Sloveniji in je klik.nlb.si vsaj en dan kazal na tuj streznik, kjer so pridno logirali certifikate in gesla. Danes imamo zato na nlb kliku tisto dodatno pozdravno besedilo, ki si ga lahko napises sam. AMPAK...ker noben drekac ni izsiljeval NLB-ja za 500 kosov(banan?) o tem ni bilo napisanega niti pol toliko kot o drekacu z active x "trojancem".
Kako je pa s pravnega vidika v hipotetičnem primeru, da najdem varnostno pomanjkljivost v, recimo, spletnem bančništvu, pri tem ne ukradem nič, ne naredim nobene škode (npr. inštalacija trojanca), banke ne izsiljujem, samo obvestim jih in jim demonstriram zadevo. Ali me lahko strpajo v pržun, češ da sem počel nekaj, česar ne bi smel niti poskušati?
Če demostracijo izvedeš samovoljno in pri tem prekršiš zakon potem da, drugače ne. Sama informacija o tem, da nekaj lahko narediš, te še ne naredi za krivega.
Robert Škulj za moje pojme ni bil ne heker ne genij.In napaka definitivno ni bila na strani NLB-ja.
Brez skrbi, da je bil. Oboje.
Tipo je imel backdoor ki bi ga na črnem trgu komot prodal za par mio €. Večdesetkratnik tega, kar je zahteval od NLB, pa je vseeno pristopil do njih in jim ponudil odkup za majhne vsote. Kaj pa je pol mio € za banko lol.
Namesto tega so ga pof*kali in prijavili policiji. Če kaj, potem bi reku osebno, da je debil ker se je sploh pogojeval z banko. Moral bi direktno prodat naprej. Dobrota je sirota in sirota ni nič.
Banka v vsakem primeru ne izgubi nič, itak je vse zavarovano.
Še en ki nima pojma. Ni on bil noben heker, niti ni on naredil tega programa (ker ga je znal samo uporabljat, niti ni znal razložiti, kaj in kako dela). Imel pa je insiderske informacije, kateri protokoli in kaj ter kako dela klik, ker je njegova žena delala na banki v poslovalnici. S temi podatki je potem nekdo pač naredil tak program in mu ga dal. Sam ga definitivno ni naredil. (osebno sem ga poznal, ker je njegov fotr iz moje rodne vasi, on sam pa je živel v tržiču).
Poanta tega programa je, da na uporabniški strani (torej ne na strani banke, ampak na strani uporabnika) preverja internetno stran klika NLB in ko ga ti štartaš stran, prebere kolikšen imaš znesek, koliko imaš limita na računu, sešteje zadeve in kreira zapis za nakazilo tega zneska na drug račun *** PAZI!!! *** s podatki od njegovega računa (O ja, nikoli ne bomo zvedeli, kam je šel denar). Tak program(skripto) se naredi v roku pol ure, še vedno pa jo moraš dostavit uporabniku. To kar je imel škulj ni bilo vredno nič. Microsoft je zelo hitro naredil popravek za to in od takrat naprej njegov program ni več delal škode po uporabniških računalnikih.
Hujšo zadevo so imeli na Abanki. Tam so na enak način prišli do zneska, le da so imeli potem okoli 15 računov v sloveniji in 5 v tujini za "pršenje" denarja. Ko so ti denar oduzeli iz računa, se je poslal v manjših zneskih na 15 računov v sloveniji, kjer so se zelo hitro izvedle transakcije (na različne banke), od tam pa v tujino na 5 računov, vendar ljudje v roku parih ur niti niso opazili, da se jim je to zgodilo. Kam je šel denar iz tujine, se pa ne ve.
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster
Senitel narobe veš. Res je da ni imel neposrednega dostopa do računov, lahko pa je iz poljubnega računa izvajal transakcije. Ne pozabit, da takrat klik ni imel nobene prave zaščite (ključev,kartic itd.), če se prav spomnim si lahko do nekaterih strani dostopal tudi preko direktnega linka(tako kot letos v eni izmed tujih bank).
Njegov program je delal ravno to, iz računov je prenakazoval poljubne zneske, prikazal je prenos 1c iz 10ih računov,tako je na X račun dobil 10c. Tisto o ugrabljenem browserju pa se je šlo za zakrivanje prenosov, če je iz tvojega računa naredil prenos ti v tabeli izpiskov transakcij tega nisi videl. Ravno zato je tipo bil heker. Ker je tisto kar je začel, izpilil in dokončal. Pravtako ni bilo nobenega sistema, ki bi iskal takšne anomalije.
Ne drži. On je samo prestregel transakcijo in zamenjal strankin račun s svojim. In znesek z zneskom limita in plusa na računu. Torej vzameš logger, logiraš transakcijo na svoji mašini, jo odkodiraš, pregledaš, kje je vpisan tvoj račun in kje je račun kam nakazuješ. zapišeš skripto, ki zamneja račun, kam se bo nakazalo in koliko se bo nakazalo. To je vse, danes zame 5 minut dela, takrat ko sem odkrival, kako dela pa pol ure.
Pa še to. Deluje samo na računu, ki je bil aktiviran v kliku na tistem računalu, na katerega je pač inštaliral svojo skripto. Ni imel dostopa do vseh računov, niti ni mogel do drugih računov, ker je klik te stvari takrat imel že pošlihtane (to je od začetka bilo en račun en certifikat).
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster