» »

Hekerski napadi na številne varnostne strokovnjake

Hekerski napadi na številne varnostne strokovnjake

Slo-Tech - Hekerska skupina Zero for Owned je na r00tsecurity.org objavila najnovejšo številko njihovega magazina ZF05, v katerem razkrivajo hekerski napad na številne znane osebnosti iz sveta informacijske varnosti.

Med njimi najdemo Kevina Mitnicka, Dana Kaminskyega ter lastnike spletnih strani PerlMonks, elitehackers.info, Binary Revolution, blackhat-forums in druge. V oči pa jim je padla tudi Joanna Rutkowska.

V svojem magazinu razkrivajo številna gesla, dokumente, zasebno e-pošto in slabe varnostne prakse svojih žrtev. Tako imajo številni znani varnostni strokovnjaki zelo slaba in predvidljiva gesla, na njihovih računalnikih pa niso naložene varnostne posodobitve.

Včeraj so tako tudi razobličili spletno stran Dana Kaminskyega (na spletno stran so napisali "Oh sh_t, Dan Kaminskyis 0wned and f_cked Up.") ter spletna stran varnostnega podjetja Matasano.

Vsekakor dogodek dokazuje da so poleg običajnih uporabnikov na udaru tudi varnostni IT strokovnjaki ter da popolnoma varnega sistema preprosto ni.

Na novico so nas opozorili v forumu.

Ker so vse žrtve uporabljale Linux, lahko sedaj na podlagi empiričnih dokazov zatrdimo, da Linux ni varen sistem...

24 komentarjev

BaToCarx ::

Ja zanimivo branje :D Pa lep ascii na zacetku.

MasterMind ::

Ker so vse žrtve uporabljale Linux, lahko sedaj na podlagi empiričnih dokazov zatrdimo, da Linux ni varen sistem...


No sh_t Sherlock. Noben sistem ni varen kar sam po sebi. Razen seveda, če sistem zakoplješ (zabatoniraš) nekam na skrivno mesto. Pa še takrat ni popolnoma varen!

No ja, lahko pa uzameš macolo pa celotno zadevo zmaličiš onkraj prepoznavnosti. Ampak ne vidim poante v tem dejanju :D .

Je pa fino tole, tisti ki pametuje kaj je varno naj pred svojim pragom najprej ... čuvajskega psa postavi?
Gentoo, KDE uporabnik.

Pegaz ::

Zanimivo, da se teli hackerji obnašajo kot, da bi bili v telenovelah.

war-dog ::

Torej noben od "strokovnjakov" ne uporablja windows strežnik? :D
Ali pač to pomeni da windows strežnik ni zlomljiv s strani hackerov, ker so bolj specializirani na lastne sisteme?
Object reference not set to an instance of an object.

denial ::

cDc pwnage: zf04.txt

Če koga zanima kako je izgledal celoten Matasano defacement: KLIK
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

A. Smith ::

The whole concept of full-disclosure has backfired. It will never work. It's
some slashdot hippie pipe dream. Even you dumbass corporate types should
recognize this. If you're constantly giving away all the vulnerabilites you
find, for *FREE* mind you (and what other industry does that?), and the
vulnerabilites get harder and harder to find and exploit, it will get harder
and harder for you all to do your "job". Frankly, I'm surprised that the
non-disclosure movement didn't start in the security industry in the first
place. In a way it did, by default. With full-disclosure, the security
industry is all about show and gloat, it is not about fixing anything. A lot of
bugs have been fixed from it, but it comes with the price of an industry that
likes to cripple itself. Projects run by teams of trained monkeys are always
eager to add more bugs to replace those that have been fixed.


Zanimivo.

Pa sem mislil, da _vsi_ hekerji zagovarjajo princip objavljanja kode. I guess not.
"Be professional, be polite,
but have a plan to kill everyone you meet".
- General James Mattis

eee ::

LOL PWND!

Icematxyz ::

Hm ker se je "novica" znašla na prvi strani sem jo prebral. In iz same novice:

Ker so vse žrtve uporabljale Linux, lahko sedaj na podlagi empiričnih dokazov zatrdimo, da Linux ni varen sistem...


Potem pa še:

Tako imajo številni znani varnostni strokovnjaki zelo slaba in predvidljiva gesla, na njihovih računalnikih pa niso naložene varnostne posodobitve.


Se pravi če si jaz ne naložim varnostnega popravka lahko nekdo to izkoristi na mojo škodo?

Liker ::

Se pravi če si jaz ne naložim varnostnega popravka lahko nekdo to izkoristi na mojo škodo?

Yep.
And it even gets better than that!

Tudi če naložiš vse varnostne popravke lahko nekdo uporabi luknjo ki je ali povsem neznana ali pa še ni pokrpana.

Se mi pa zdi da vem kaj si želel izpostaviti - varnostnih popravkov ne nameščajo samo tisti z manjšo možgansko kapaciteto (pa seveda razni "za linuxe (sic)/mace/firefox/opero/... ni virusov/napak").
Mene je v nasprotno pred cca. tremi leti že prepričalo, ko so mi remote rootnili debiana, z vsemi "popravki" in samo apache in ssh (na nestandardnem portu) servisom...

jype ::

A. Smith> Pa sem mislil, da _vsi_ hekerji zagovarjajo princip objavljanja kode. I guess not.

Kode, vsekakor.

Exploitov, nope.

Liker> in samo apache

Samo? Hihi.

Zgodovina sprememb…

  • spremenilo: jype ()

Utk ::

Tisti, ki ne znajo, naj učijo. Če so hekerji tako dobri, pa naj res Nekam vdrejo, da bomo kaj zanimivega zvedeli. Za nekega profesorja mi je pa res vseeno kaj ima na računalniku.

BigWhale ::

A se samo meni dogaja, da ob branju teh tekstov razmisljam o tem, da je tako skropucalo pisal neko, k je seriously troubled?

lukanium ::

A se samo meni dogaja, da ob branju teh tekstov razmisljam o tem, da je tako skropucalo pisal neko, k je seriously troubled?

Ne, nisi :D
When a person can no longer laugh at himself,
it is time for others to laugh at him. [Thomas Szasz]

riba1122 ::

Pisec te novice je moten ponosen Windows (ali Mac) uprabnik.
Linux da ni varen sistem?
Zakaj?
Zato ker "imajo številni znani varnostni strokovnjaki zelo slaba in predvidljiva gesla"?
Zato ker "na njihovih računalnikih niso naložene varnostne posodobitve"?

Ta novica (če jo razumeš) samo dokazuje, da Linux je varen sistem.
Seveda varen je subjektiven pridevnik.

Matthai ::

Ekhm. Pisec novice sem jaz. Že par let uporabljam izključno Linux. Kjer morem delam reklamo za Linux in kritiziram Windows.

Ne pomeni pa to, da ne smem misliti z lastno glavo in opozoriti na napake kjer jih vidim. Sicer pa počakaj na naslednjo novico o hudem exploitu v najnovejšem Linux kernelu. Tolk o varnosti.
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

denial ::

@riba1122
LULZ!!! (it's zf0 effect people)

Pisec te novice garantirano ni Windows user, temveč hard-core Linux user, ki za razliko od tebe ni fanboy in lahko prizna, da Linux ni varen sistem.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

sirotka ::

Če bi v novici pisalo, da so vsi bli uporabniki oken, bi blo sedaj cirka 3strani kurčenja in pizdakanja čez MS. Riba....si se ugriznu za jezik?

Matthai...respekt

Matthai ::

Mislim, jaz priznam, da sem včasih mislil, da je glavna finta odprte kode možnost za povečanje varnosti. (Ni pa to nujno - lep primer je znani GPG bug, ki ga kljub odprti kodi niso opazili (mislim da) desetletje). Potem pa sem prišel do spoznanja, da odprtost kode sicer lahko ima lahko pozitivne efekte pri zagotavljanju varnosti, vendar se ti učinki s kompleksnostjo kode izničijo.

Koda Linuxa je s stališča varnosti danes dejansko zaprta. En povprečen programer tako obsežne in kompleksne kode ni sposoben pregledati. Celo team običajnih programerjev ne. Dejansko za kaj takega rabiš security specialiste, In to take, ki znajo napake poiskati tudi v zaprti kodi.

Finta odprtosti je nekje drugje. Opensource je razvojna metodologija. Finta je v tem, da lahko nekdo vzame že obstoječo kodo in jo prilagodi ter naredi nov program. Da ni pravnih omejitev pri razvoju in je zato razvoj lahko hitrejši. Da je sistem dovolj odprt, da ga lahko maksimalno prilagodiš svojim potrebam.

Nima pa to nikakršne zveze z varnostjo. Linux je za končnega uporabnika bolj varen zato, ker ni monokulturen in ker še ni tako razširjen. Slednje je sicer security throug obscurity, multikulturost pa je bolj pomembna. In seveda - ima nekoliko drugačno zasnovo kot Windows, kjer za slabih 500 EUR lahko kupiš certifikat za podpisovanje driverjev...

Kakorkoli že - Linux ne sme zaspat na "lovorikah", v varnost je treba začet bolj sistematično vlagat. Microsoft se je svoje lekcije naučil in zadnja leta se res trudi. Linux pa od GRsec in SELinuxa ni naredil kaj res zelo inovativnega...
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

Utk ::

Bolje pozno kot nikoli, da ti je to potegnilo (o koristnosti odprte kode - kot da jo res lahko vsak pregleda, kaj šele da mu to koristi).

Zgodovina sprememb…

  • spremenil: Utk ()

5er--> ::

Matthai rad provocira. Se samo meni zadnji stavek sliši rahlo sarkastično?
Edit: tab sem imel naložen, ko je imel zadnjo besedno sirotka.

Zgodovina sprememb…

  • spremenilo: 5er--> ()

Matthai ::

CrniE - če sem kritičen do Linuxa še ne pomeni, da bomo pa zdaj govorili "Ave Windows". Kar se tiče varnosti je Windows neprimerno hujše sranje od Linuxa.

Problem pa ni to, problem je spanje na lovorikah.
Kind of an asshole at first sight, but actually a nice guy
when you get to know me personally. :)

antonija ::

CrniE - če sem kritičen do Linuxa še ne pomeni, da bomo pa zdaj govorili "Ave Windows". Kar se tiče varnosti je Windows neprimerno hujše sranje od Linuxa.

Zdej si mu pa vikend zjebu... :\ Pa ze tko dobro mu je slo, nic ni bil siten, nic ni postal, uzival je ob misli da je petek... you evil, evil man.

:))
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

WhiteAngel ::

@riba1122: +1
5 znakovna gesla in nenameščeni varnostni popravki pa še PHP, ki je itak skorpucalo :)

Bistveno bolj zanimiv je bil tisti Debianov rootkit pred nekaj leti in pa SSH ključi.

riba1122 ::

@ Matthai:

MasterMind ti je že povedal, noben sistem ni varen (dobesedno). Je pa Linux varen (subjektivno). Kar sem povedal že v prejšnjem postu.
Zakaj sem mislil da si fanboy? Zaradi stila pisanja.


@ denial:

[b]garantirano[/b]?
Zakaj?
Ker ga mogoče osebno poznaš?
Jaz ga ne,

Jaz fanboy?
Delno.
Ne morem priznati?
[quote=Riba1122]Seveda varen je subjektiven pridevnik.[/quote]
Kaj misliš, kaj je to pomenilo?


@ sirotka:

Ne, spat sem šel.
Misliš, da bi bil jaz zraven pri tem "3stranem kurčenju in pizdakanju čez MS"?
Motiš se.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Twitter in Wikipedia kar čez DNS

Oddelek: Novice / Varnost
155905 (3951) Karlos
»

Hekerski napadi na številne varnostne strokovnjake

Oddelek: Novice / Varnost
244115 (2328) riba1122
»

Uporaba DNS-a za (prikrito) komuniciranje

Oddelek: Novice / Zasebnost
63907 (3315) fiction
»

Odkrita resna ranljivost v DNS sistemih

Oddelek: Novice / Varnost
286351 (3833) denial

Več podobnih tem