Jeśli na liście ofiar włamania pojawia się wiele znanych projektów, to wiadomo, że ukazało się nowe wydanie zina grupy Hack The Planet. Numer piąty przynosi jak zawsze wiele ciekawych historii oraz zdobytych materiałów. Poniżej krótkie streszczenie.
Na piąte wydanie zina Hack The Planet przyszło nam czekać pół roku – ale było warto. W wydaniu czwartym główną ofiarą był serwis ImageShack.us, lecz w kolejnym numerze wpisów pojawiło się dużo więcej. Zacznijmy od największych wpadek.
MIT.EDU – i wszystkie domeny .EDU
Na pierwszym miejscu bez wątpienia należy umieścić serwis MIT.EDU, uważanej przez wielu za najlepszą uczelnię techniczną świata. HTP nie tylko podmieniło stronę główną, ale także przez ponad godzinę odbierało całą pocztę przychodzącą wszystkich kont w tej domenie i subdomenach. Jak do tego doszło? HTP przejęło kontrolę nad serwerami organizacji EDUCASE, zarządzającej całą domeną .EDU i przekierowało domenę MIT.EDU na kontrolowane przez siebie serwery (w styczniu wspominaliśmy o dziwnych wpisach we whois MIT.EDU). Przy okazji, jak twierdzi, uzyskało dostęp do serwerów ICANNu i SourceForge, gdzie natrafiło na ślady aktywności innych włamywaczy. Wśród załączonych materiałów źródłowych znalazła się między innymi pełna baza loginów i haseł służących do zarządzania wszystkimi domenami .EDU oraz 5GB emaili skierowanych do serwerów MIT.
Linode i wszyscy klienci
#HTP5 jest jak dobry film według Hitchcocka – zaczyna się od trzęsienia ziemi, potem zaś napięcie nieprzerwanie rośnie. Drugą ofiarą żartownisiów z HTP padła duża firma hostingowa Linode (pisaliśmy o tym całkiem niedawno). O skali włamania niech najlepiej świadczy lista klientów/projektów, do których serwerów uzyskało dostęp HTP: Nmap, Nagios, SQLite, OSTicket, Phusion Passenger (modrails), Mono Project, Prey Project, Pastie, Sucuri, Hak5, Pwnie Express, Puppet oraz oauth. Motywacją do włamania była chęć infiltracji sieci IRC jednego z odłamów Anoymous, której serwery DNS znajdowały się właśnie w Linode. Do włamania wykorzystano 0day na Adobe Coldfusion. Co prawda dane np. kart kredytowych klientów Linode nie zostały opublikowane, jednak niektórzy ich klienci nie mieli tyle samo szczęścia. Jeśli chcecie poznać hash hasła Fyodora, autora nmapa, HTP służy pomocą. W zinie znajdziecie również link do 16GB danych z katalogu /home projektu. Z tego samego hostingu miała również pecha korzystać firma Sucuri, zajmująca się bezpieczeństwem serwisów www.
Użytkownicy MoinMoin
Dzięki kolejnemu exploitowi 0day, tym razem na MoinMoin, HTP do listy swoich ofiar mogło dopisać projekty takie jak Debian, Python, Wireshark, Mercurial, MoinMoin oraz Wget (o włamaniu do Debiana mogliście czytać u nas w styczniu). Jak sugeruje w zinie, administrator serwera Wgeta do tej pory nie zorientował się, że ktoś uzyskał niepowołany dostęp do jego maszyny. Do zina dołączono bazę danych z serwera Wiresharka. Inną ofiarą HTP padła baza błędów NIST (również za sprawą błędu 0day).
Kto następny?
Na szczęście HTP, przy całej nielegalności swojego działania, ma jakieś zasady moralne i nie publikuje danych, mogących narazić na problemy zwykłych użytkowników. Polecamy wszystkim lekturę całego zina – poczucie humoru HTP ją znacznie uprzyjemni. Czekamy też na #HTP6 ciesząc się jednocześnie, że nie administrujemy żadnym ważnym projektem…
Komentarze
ehh HTP :) robić haki i wrzucać do zina :) normalnie lata 90-te i dobrze :)
Swoją drogą, biorąc pod uwagę wykorzystanie 0-days, pewnie warto czytać zina z jakiejś gotowej do zaorania virtualki? ;-)
słuszna uwaga :)
Po ostatnim zini 4 imageshack niewiele połatał.. Bez problemu można znaleźć XSSów parę….
Strona HTP leży :(
witam jakie macie doswiadczenia z HTP? zlecaliscie im cos? wywiazali sie?
Witam. kilka tygodnie temu zlecilem htp prosta robotke. Zaplacilem ile chciei i od tamtego czasu sie nie odzywaja. Uwazam ze htp to cieniasy i oszusci nie poradzili sobie ze zleceniem i nie maja odwagi sie przyznac takie zachowanie to frajerstwo te cioty z htp powinni jebnac sie klawiatura w leb moze wtedy cos im sie przestawi i przestana chwalic sie jacy sa zajebisci a nie sa i nie beda dopki beda oszukiwac ludzi. pozdrawiam wszystkich oprocz frajerow z htp.