Oprócz komercyjnych firm handlujących 0day’ami takich jak Vupen, istnieją także strony, gdzie odbywa się handel exploitami na znane błędy. Właściciele jednej z takich stron twierdzą, że włamali się do serwerów konkurencji i ukradli bazę ich exploitów.
Dwa najpopularniejsze serwisy, gdzie można sprzedać lub kupić exploity na odkryte już błędy to ExploitHub.com oraz 1337day.com. Wczoraj Inj3ct0r Team, zarządzający witryną 1337day.com, ogłosił, że włamał się na serwer ExploitHub.com i ukradł całą bazę ponad 200 prywatnych exploitów, wartą wg cen ofertowych ponad 200 tysięcy dolarów.
Jak doszło do włamania?
Sam ExploitHub ze wstydem przyznaje, że na serwerze pozostawiono katalog /install, zawierający skrypty instalacyjne popularnego sklepu Magento. Odkrycie zawartości tego katalogu pozwoliło włamywaczom z konkurencji na przeinstalowanie sklepu i przejęcie nad nim kontroli. W kolejnym kroku wgrali na serwer phpshella i uzyskali dostęp do pełnej bazy danych serwera www. Tutaj jednak kończy się zgodność między wersją Inj3ct0r Teamu a wersją ExploitHuba.
Fragment listy rzekomo skradzionych exploitów
Ukradli exploity czy nie?
Inj3ct0r Team twierdzi, że udało się im uzyskać na serwerze uprawnienia administratora, dostać do plików na serwerze FTP i ukraść cały zbiór exploitów. Na dowód swoich twierdzeń publikują fragment bazy danych, zawierający listę exploitów znajdujących się w sprzedaży.
Z kolei ExploitHub informuje, że owszem, do włamania doszło, ale kod exploitów nie był przechowywany na serwerze wystawionym do sieci publicznej i obsługującym sklep. Wskazuje, że opublikowany zrzut bazy danych zawiera jedynie dane publicznie dostępne na stronie, które można było zebrać przeglądając ofertę sprzedaży. Podkreśla także, że będąc częstym celem ataków zadbał o to, by exploity znajdowały się w bezpiecznej lokalizacji.
Inj3ct0r Team z kolei ogłosił, że jeśli do 16. grudnia zbierze 30 tysięcy fanów na Facebooku, to opublikuje ukradzioną bazę exploitów. Obietnica dość wygodna, ponieważ obecnie ich profil lubi ok. 15 tysięcy fanów.
Kto kłamie?
Zbyt wiele razy opisywaliśmy już fałszywe twierdzenia różnych grup włamywaczy, by uwierzyć w deklaracje Inj3ct0r Team. Ich obietnica opublikowania pełnej bazy exploitów wydaje się być zabezpieczona nieosiągalnym warunkiem. W ujawnionych już danych nie zawarli kodu ani jednego exploita. Co prawda ExploitHub ostrożnie stwierdza, ze do tej pory brak dowodów, by doszło do ujawnienia całej bazy, jednak historia uczy, że jeśli ktoś ogłasza w sieci kradzież cennych danych, to dopóki nie opublikuje przynajmniej ich wiarygodnie wyglądającego fragmentu, twierdzenia te należy włożyć między bajki. Wpadka ExploitHub.com, choć wstydliwa, nie jest aż tak kompromitująca, jeśli ujawnione zostały tylko publicznie dostępne dane. Z kolei Inj3ct0r Team ośmieszy się, jeśli nie udowodni, że faktycznie ukradł całą bazę exploitów.
Komentarze
Oj tam, oj tam :)
Oj tam, oj tam, ale imho daje im tylko 10%, że te exploity ukradli… tak dla bezpieczeństwa dla swojego komentarza ;)
Wg niebezpiecznika, teraz wykradziono jakieś exploity z 1337day.com (źródło: http://niebezpiecznik.pl/post/wyciek-exploitow-z-1337day-com/).
Czyżby odwet? :)
Ojtam ojtam, może ktoś po prostu kupił i opublikował… Nie widzieliśmy jak na razie żadnych dowodów, że zostały wykradzione.