Nie warto współpracować z FBI
9 marca 2011, 10:46
Opowieść w skrócie wygląda tak: grupa Anonymous skompromitowała amerykańską firmę sprzedającą usługi i produkty z zakresu bezpieczeństwa, która wcześniej groziła ujawnieniem FBI nazwisk najważniejszych osób z tej organizacji. Ta historia ma tak wiele interesujących wątków, że warto poświęcić jej nieco więcej uwagi.
Opowieść w skrócie wygląda tak: grupa Anonymous skompromitowała amerykańską firmę sprzedającą usługi i produkty z zakresu bezpieczeństwa, która wcześniej groziła ujawnieniem FBI nazwisk najważniejszych osób z tej organizacji. Ta historia ma tak wiele interesujących wątków, że warto poświęcić jej nieco więcej uwagi.
Opisanie grupy Anonymous jest przedsięwzięciem pozbawionym szans na powodzenie. Jednak dla uproszczenia można sobie ją wyobrazić jako grupę anonimowych aktywistów działających w Internecie. W ostatnim czasie zrobiło się głośno przede wszystkim z powodu przeprowadzanej w ramach wspierania WikiLeaks serii ataków na serwery usługodawców płatniczych PayPal, MasterCard oraz szwajcarskiego banku PostFinance.
W ramach operacji Payback tysiące sympatyków demaskatorskiego portalu skorzystało ze zmodyfikowanej wersji narzędzia do przeprowadzania testów obciążeniowych Low Orbit Ion Canon (LOIC), przekształcając swoje komputery w zdalnie sterowane boty, które zostały użyte do atakowania konkretnych serwisów. LOIC był już stosowany w czasie przeprowadzanych przez Anonimowych akcji przeciwko scjentologom.
Na początku lutego szef amerykańskiej firmy HBGary Federal, zajmującej się usługami i produktami z zakresu bezpieczeństwa poinformował w rozmowie z "Financial Times", że w ramach projektu badawczego dotyczącego ryzykownych aspektów sieci społecznościowych jego zespołowi udało się zinfiltrować środowisko grupy i odkryć między innymi tożsamość jej czołowych przedstawicieli. "As 1337 as these guys are supposed to be they don't get it. I have pwned them! :)" – cieszył się Aaron Barr w e-mailu przesłanym do jednej z pracownic działu PR.
Wówczas nie ujawnił jeszcze nazwisk domniemanych aktywistów Anonymous. Zostawił to sobie na zaplanowane już wcześniej spotkanie z FBI. Na potrzeby federalnych służb śledczych stworzył wizytówki z internetowymi identyfikatorami, nazwiskami, a po części także adresami. Gotowe były już nawet odpowiedni wpis w blogu oraz komunikat prasowy: "HBGary Federal [...] pokazał siłę i ujawnił tożsamość czołowych działaczy Anonimowych".
Jednak do publikacji artykułu ostatecznie nie doszło, gdyż zaledwie dzień po wywiadzie udzielonym "Financial Times" Anonimowi zakpili z HBGary Federal. To, co przy okazji zostało ujawnione, było dla firmy naprawdę bolesne.
Włamanie
W bardzo krótkim czasie nieznani sprawcy włamali się do systemów spółki, skąd wykradli między innymi około 60 tysięcy e-maili. Atak został przeprowadzony przez publiczną stronę internetową. Zarządzanie zawartością witryny odbywało się za pośrednictwem własnościowego systemu CMS, który został opracowany specjalnie na potrzeby firmy i do którego dostęp mieli najważniejsi jej pracownicy.
CMS ten generował adresy URL typu /pages.php?pageNav=2&page=27. Niestety, system nie weryfikował przekazywanych parametrów w wystarczającym stopniu – to pierwszy błąd. Tym samym możliwe było przemycanie poleceń trafiających do bazy danych. Przeprowadzając kolejny atak (SQL Injection), napastnikom udało się dostać do zapisanych w bazie haseł w formie kryptograficznych skrótów MD5.
Owe skróty nie były dodatkowo zabezpieczone. Nie zastosowano przy tym żadnych typowych metod mających na celu wzmocnienie ochrony sekretów, np. dodanie tak zwanej soli czy też rekurencyjne wywoływanie funkcji mieszającej. Brak tego drugiego zabezpieczenia sprawił, że odzyskanie haseł w postaci otwartej za pomocą tzw. tęczowych tablic (rainbow tables) było niezwykle łatwe.
Usterka polegała na tym, że hasła do systemu CMS były używane również w innych systemach – na przykład chroniły dostęp do takich usług i serwisów jak poczta elektroniczna, Twitter czy LinkedIn. Dało to napastnikom między innymi możliwość przejęcia kont e-mailowych Barra i jego głównego współpracownika Teda Very.
Vera miał ponadto konto SSH w systemie support.hbgary.com, gdzie hakerom z Anonymous udało się zalogować przy użyciu tego samego hasła. Działał tam system GNU/Linux, który – kolejny błąd – był podatny na opublikowaną w październiku ubiegłego roku lukę w zabezpieczeniach w komponencie ładującym biblioteki w kompilatorze GNU C. Umożliwiała ona uzyskanie uprawnień administratora, co dało napastnikom dostęp do kilku gigabajtów kopii bezpieczeństwa i informacji na temat badań prowadzonych przez HBGary Federal.
Ponieważ Barr był jednocześnie administratorem firmowego dostępu do usługi Google Apps, mógł zmieniać hasła poczty elektronicznej innych pracowników. Dzięki temu Anonimowi dostali się do skrzynki Grega Hoglunda – eksperta od rootkitów i współzałożyciela spółki matki. W poczcie Hoglunda znajdowało się – następny błąd – hasło administratora do prowadzonego przez niego serwisu Rootkit.com. Dzięki temu intruzi przekonali innego administratora do "wywiercenia dziury" w firewallu i zmiany zapomnianego rzekomo przez Hoglunda hasła. Następnie Anonimowi wykorzystali SSH i dostali się do serwera przechowującego dane kont na forach dyskusyjnych. Także w tym przypadku hasła były łatwe do złamania, w związku z czym w mgnieniu oka udało się je poznać.
Ogólnie rzecz biorąc, poziom ochrony w firmie zajmującej się zabezpieczeniami był zastraszająco niski. Łatwe do uniknięcia błędy, takie jak brak zabezpieczenia przed atakami typu SQL Injection na stronie WWW, słabo chronione hasła (w dodatku używane wielokrotnie w różnych serwisach), a także niezałatane oprogramowanie serwerów, nie dają dobrego świadectwa firmie, która zarabia na oprogramowaniu i doradztwie w zakresie bezpieczeństwa. Okazało się jednak, że było jeszcze gorzej.
Gdy przeprowadzane na IRC-u (Internet Relay Chat) negocjacje dotyczące ugody zakończyły się fiaskiem, Anonimowi opublikowali nie tylko przygotowane wcześniej informacje o domniemanej tożsamości kierownictwa HBGary Federal, ale także wszystkie uzyskane e-maile pracowników przedsiębiorstwa. Chociaż sensacyjne informacje na temat grupy aktywistów okazały się bezwartościowe, to ujawnione w Sieci wiadomości rysują dość dokładny obraz szefostwa amerykańskiej firmy i prowadzonych przez nią interesów. Należy jednak pamiętać, że treści przesyłek mogły zostać zmanipulowane, mimo że przeprowadzone testy wiarygodności nie dają żadnych podstaw do takich podejrzeń.
Robi się gorąco
Chodzi o dwie firmy, które są wprawdzie ściśle ze sobą powiązane, ale różnią się w swoich działaniach: HBGary i HBGary Federal. Spółka córka, czyli HBGary Federal, pod kierownictwem Aarona Barra wyspecjalizowała się przede wszystkim w analizowaniu sieci społecznościowych. Ponieważ w istocie ma ona niewiele do zaoferowania, Barr próbuje najwyraźniej ratować sytuację.
W ostatnim czasie poszukiwał on aktywnie solidnego (czyt. wypłacalnego) zleceniodawcy, który sfinansowałby system do zarządzania fikcyjnymi osobami działającymi w Sieci oraz do analizowania i zbierania danych. Barr przedstawił amerykańskiej firmie Mantech ofertę opracowania za 100 tysięcy dolarów prototypu, z użyciem którego możliwe byłoby tworzenie i utrzymywanie fałszywych użytkowników. Mantech dostarcza technologie amerykańskim tajnym służbom, armii oraz organom ścigania. Na liście klientów firmy znajdują się między innymi amerykańska marynarka, lotnictwo wojskowe, FBI, NSA i Departament Bezpieczeństwa Narodowego.
Na przykładzie niewielkiego projektu pobocznego Barr nakreślił sposób, w jaki można by dobrze wykorzystać tego rodzaju sztucznie wykreowane osoby. Używając jednej z nich, zamierzał on zmanipulować program Low Orbit Ion Canon, a następnie rozpowszechnić szkodliwą wersję. Druga fałszywa osoba miała odkryć i napiętnować obarczoną trojanem aplikację. Tym samym pierwszy osobnik byłby wprawdzie spalony w środowisku, lecz odkrywca luki zyskałby uznanie wśród Anonimowych. Jednak korespondencja e-mailowa na temat tego projektu kończy się zdecydowaną odmową ze strony programisty ("I'm not compiling that shit on my box!").
Sabotażysta
O tym, że Barr nie przebiera w środkach, świadczy także analiza prawdopodobnych zagrożeń stwarzanych przez WikiLeaks, która została sporządzona przez HBGary Federal wraz z firmami Palantir i Berico. Jedno z zaleceń dotyczących postępowania z dziennikarzami piszącymi pozytywnie o demaskatorskim portalu brzmi: "Taka forma wsparcia musi zostać sparaliżowana". Analiza podaje również, w jaki sposób miałoby to zostać wykonane: tacy profesjonaliści jak wymieniony w raporcie z imienia i nazwiska Glenn Greenwald mają wprawdzie poglądy lewicowo-liberalne, jednak przy wyborze między karierą zawodową a ideałami zdecydowaliby się ostatecznie na to pierwsze.
Rootkity, trojany i exploity typu Zero Day
Także o spółce matce, którą rządzi Greg Hoglund, nie można powiedzieć, by miała jakiekolwiek skrupuły. Jednak HBGary ma w swojej ofercie przynajmniej prawdziwe produkty i dysponuje konkretną wiedzą, co zapewnia jej dochody. Najbardziej znanym produktem jest narzędzie HBGary Responder do analizy pamięci operacyjnej w systemach Windows. Jest ono często stosowane przez organy ścigania jako oprogramowanie wspomagające śledztwo, może być używane także do rozpoznawania szkodliwego kodu.
Wygląda na to, że w tajemnicy przed opinią publiczną Hoglund i spółka sprzedają dostosowane do konkretnych potrzeb trojany, rootkity i inne programy szpiegujące. Firma oferowała na przykład licencje na produkt HBGary Rootkit Keylogger Platform za 60 tysięcy dolarów. Ten rootkit kernela szpieguje komputery z Windows w sposób niezauważalny dla oprogramowania antywirusowego, narzędzi do rootkitów czy też osobistych zapór ogniowych. W cenie zawarty jest kod źródłowy, aby klient mógł dokonywać własnych poprawek.
Obecnie ulubionym projektem eksperta od zabezpieczeń, który sam siebie określa jako "serious bad ass", jest nowatorska koncepcja rootkita rozwijanego pod nazwą kodową 12 Monkeys lub Magenta. Ma on być niezauważalny dla wszelkich programów ochronnych, ponieważ nie jest skojarzony z konkretnymi procesami ani strukturami, lecz ciągle przemieszcza się w pamięci. Na opracowanie prototypu HBGary przeznaczył około 280 tysięcy dolarów. Prawie gotowy jest framework o nazwie Task B, za którego pomocą możliwe jest skompromitowanie komputera przez krótkotrwały dostęp za pośrednictwem portu USB, FireWire lub PC Card; trwają jeszcze dyskusje nad wersją dla iPoda.
Ponadto HBGary dostarcza także exploity typu Zero Day – a więc programy wykorzystujące luki w zabezpieczeniach, które nie zostały jeszcze załatane. Podobnie jednak jak handlarze narkotyków, także sprzedawcy tych szkodliwych kodów unikają nazywania ich po imieniu. Zamiast tego mówi się w tym wypadku o "soczystych owocach" ("juicy fruits"). Konkretnie rzecz biorąc, HBGary sprzedaje "owoce" m.in. dla środowisk VMware, Java i Flash.
O ile wspomagający śledztwa program Responder jest stosowany także przez europejskie organy ścigania (np. w Niemczech), o tyle w obszarze nieoficjalnych produktów HBGary wyspecjalizował się przede wszystkim w potrzebach rynku amerykańskiego. Jednym z ulubionych klientów jest koncern zbrojeniowy General Dynamics, ten z kolei sprzedaje swoje produkty amerykańskiej armii i tajnym służbom.
Anonimowi to my
Skompromitowanie amerykańskiej firmy sprzedającej produkty i usługi z zakresu bezpieczeństwa przedstawia fenomen Anonimowych w nowym świetle. Nawet jeśli ostatecznie okazało się, że metody ataku wcale nie musiały być szczególnie wyrafinowane, to jednak cała akcja była dziełem ekspertów dysponujących bardzo dużymi umiejętnościami.
Nie ma to już nic wspólnego z atakami DDoS na strony internetowe, a już na pewno jest czymś zupełnie innym niż średniej jakości dowcipy społeczności 4chan. W rozmowie z heise Security dwaj zaangażowani prawdopodobnie w całą sprawę aktywiści Anonimowych wyjaśnili, że nie mają nic wspólnego z działalnością grupy 4chan, która działała, zanim oni sami pojawili się na hakerskiej scenie. Przypomina to trochę znane z Polski zjawisko podszywania się niektórych członków forum Karachan pod użytkowników serwisu Wykop. W przypadku włamania do infrastruktury HB Gary Federal Anonimowym chodziło też o tzw. lulz (śmianie się z czegoś z odrobiną złośliwej satysfakcji). Zdobyte e-maile zostały jednak opublikowane, dopiero gdy grupa doszła do wniosku, że jej obowiązkiem jest ujawnienie opisanych w nich procederów.
Nie powinno się postrzegać Anonimowych jako nieuporządkowanej społeczności, która ślepo wykonuje rozkazy niewielkiej garstki osób z kierownictwa. Członkowie tworzą nieregularne struktury. Aktywna część organizuje się w grupy, które następnie narzucają własne reguły gry, z kolei inni pracują raczej w oparciu o porozumienie. Podczas operacji Payback określone decyzje poddawano głosowaniu.
Polityczne akcje wokół portalu WikiLeaks, a także wspieranie powstań w świecie arabskim zapewniły Anonimowym nie tylko rosnącą rzeszę sympatyków. Doprowadziły one również do tego, że ten internetowy fenomen pozyskuje coraz więcej członków z klasycznej społeczności hakerskiej, która niezbyt przepada za mało wyszukanymi dowcipami z czasów 4chan oraz potępia ataki DDoS, traktując je jako rodzaj wandalizmu.
Jeden z aktywistów grupy Anonymous przyznał w rozmowie z heise Security, że zaczął działać w grupie zaledwie cztery miesiące temu w ramach operacji OpTunisia i OpEgypt. Zrobił wrażenie miłego i otwartego człowieka, który zna Internet jeszcze z czasów Gophera i BBS-ów. Jednak to tylko jedna z twarzy kryjących się za maską. Tak naprawdę Anonimowi mogą być nieobliczalni – w końcu teoretycznie każdy z nas może stać się jednym z nich.
Opisanie grupy Anonymous jest przedsięwzięciem pozbawionym szans na powodzenie. Jednak dla uproszczenia można sobie ją wyobrazić jako grupę anonimowych aktywistów działających w Internecie. W ostatnim czasie zrobiło się głośno przede wszystkim z powodu przeprowadzanej w ramach wspierania WikiLeaks serii ataków na serwery usługodawców płatniczych PayPal, MasterCard oraz szwajcarskiego banku PostFinance.
W ramach operacji Payback tysiące sympatyków demaskatorskiego portalu skorzystało ze zmodyfikowanej wersji narzędzia do przeprowadzania testów obciążeniowych Low Orbit Ion Canon (LOIC), przekształcając swoje komputery w zdalnie sterowane boty, które zostały użyte do atakowania konkretnych serwisów. LOIC był już stosowany w czasie przeprowadzanych przez Anonimowych akcji przeciwko scjentologom.
Na początku lutego szef amerykańskiej firmy HBGary Federal, zajmującej się usługami i produktami z zakresu bezpieczeństwa poinformował w rozmowie z "Financial Times", że w ramach projektu badawczego dotyczącego ryzykownych aspektów sieci społecznościowych jego zespołowi udało się zinfiltrować środowisko grupy i odkryć między innymi tożsamość jej czołowych przedstawicieli. "As 1337 as these guys are supposed to be they don't get it. I have pwned them! :)" – cieszył się Aaron Barr w e-mailu przesłanym do jednej z pracownic działu PR.
Wówczas nie ujawnił jeszcze nazwisk domniemanych aktywistów Anonymous. Zostawił to sobie na zaplanowane już wcześniej spotkanie z FBI. Na potrzeby federalnych służb śledczych stworzył wizytówki z internetowymi identyfikatorami, nazwiskami, a po części także adresami. Gotowe były już nawet odpowiedni wpis w blogu oraz komunikat prasowy: "HBGary Federal [...] pokazał siłę i ujawnił tożsamość czołowych działaczy Anonimowych".
Jednak do publikacji artykułu ostatecznie nie doszło, gdyż zaledwie dzień po wywiadzie udzielonym "Financial Times" Anonimowi zakpili z HBGary Federal. To, co przy okazji zostało ujawnione, było dla firmy naprawdę bolesne.
Włamanie
W bardzo krótkim czasie nieznani sprawcy włamali się do systemów spółki, skąd wykradli między innymi około 60 tysięcy e-maili. Atak został przeprowadzony przez publiczną stronę internetową. Zarządzanie zawartością witryny odbywało się za pośrednictwem własnościowego systemu CMS, który został opracowany specjalnie na potrzeby firmy i do którego dostęp mieli najważniejsi jej pracownicy.
CMS ten generował adresy URL typu /pages.php?pageNav=2&page=27. Niestety, system nie weryfikował przekazywanych parametrów w wystarczającym stopniu – to pierwszy błąd. Tym samym możliwe było przemycanie poleceń trafiających do bazy danych. Przeprowadzając kolejny atak (SQL Injection), napastnikom udało się dostać do zapisanych w bazie haseł w formie kryptograficznych skrótów MD5.
Owe skróty nie były dodatkowo zabezpieczone. Nie zastosowano przy tym żadnych typowych metod mających na celu wzmocnienie ochrony sekretów, np. dodanie tak zwanej soli czy też rekurencyjne wywoływanie funkcji mieszającej. Brak tego drugiego zabezpieczenia sprawił, że odzyskanie haseł w postaci otwartej za pomocą tzw. tęczowych tablic (rainbow tables) było niezwykle łatwe.
Usterka polegała na tym, że hasła do systemu CMS były używane również w innych systemach – na przykład chroniły dostęp do takich usług i serwisów jak poczta elektroniczna, Twitter czy LinkedIn. Dało to napastnikom między innymi możliwość przejęcia kont e-mailowych Barra i jego głównego współpracownika Teda Very.
Vera miał ponadto konto SSH w systemie support.hbgary.com, gdzie hakerom z Anonymous udało się zalogować przy użyciu tego samego hasła. Działał tam system GNU/Linux, który – kolejny błąd – był podatny na opublikowaną w październiku ubiegłego roku lukę w zabezpieczeniach w komponencie ładującym biblioteki w kompilatorze GNU C. Umożliwiała ona uzyskanie uprawnień administratora, co dało napastnikom dostęp do kilku gigabajtów kopii bezpieczeństwa i informacji na temat badań prowadzonych przez HBGary Federal.
Ponieważ Barr był jednocześnie administratorem firmowego dostępu do usługi Google Apps, mógł zmieniać hasła poczty elektronicznej innych pracowników. Dzięki temu Anonimowi dostali się do skrzynki Grega Hoglunda – eksperta od rootkitów i współzałożyciela spółki matki. W poczcie Hoglunda znajdowało się – następny błąd – hasło administratora do prowadzonego przez niego serwisu Rootkit.com. Dzięki temu intruzi przekonali innego administratora do "wywiercenia dziury" w firewallu i zmiany zapomnianego rzekomo przez Hoglunda hasła. Następnie Anonimowi wykorzystali SSH i dostali się do serwera przechowującego dane kont na forach dyskusyjnych. Także w tym przypadku hasła były łatwe do złamania, w związku z czym w mgnieniu oka udało się je poznać.
Ogólnie rzecz biorąc, poziom ochrony w firmie zajmującej się zabezpieczeniami był zastraszająco niski. Łatwe do uniknięcia błędy, takie jak brak zabezpieczenia przed atakami typu SQL Injection na stronie WWW, słabo chronione hasła (w dodatku używane wielokrotnie w różnych serwisach), a także niezałatane oprogramowanie serwerów, nie dają dobrego świadectwa firmie, która zarabia na oprogramowaniu i doradztwie w zakresie bezpieczeństwa. Okazało się jednak, że było jeszcze gorzej.
Gdy przeprowadzane na IRC-u (Internet Relay Chat) negocjacje dotyczące ugody zakończyły się fiaskiem, Anonimowi opublikowali nie tylko przygotowane wcześniej informacje o domniemanej tożsamości kierownictwa HBGary Federal, ale także wszystkie uzyskane e-maile pracowników przedsiębiorstwa. Chociaż sensacyjne informacje na temat grupy aktywistów okazały się bezwartościowe, to ujawnione w Sieci wiadomości rysują dość dokładny obraz szefostwa amerykańskiej firmy i prowadzonych przez nią interesów. Należy jednak pamiętać, że treści przesyłek mogły zostać zmanipulowane, mimo że przeprowadzone testy wiarygodności nie dają żadnych podstaw do takich podejrzeń.
Robi się gorąco
Chodzi o dwie firmy, które są wprawdzie ściśle ze sobą powiązane, ale różnią się w swoich działaniach: HBGary i HBGary Federal. Spółka córka, czyli HBGary Federal, pod kierownictwem Aarona Barra wyspecjalizowała się przede wszystkim w analizowaniu sieci społecznościowych. Ponieważ w istocie ma ona niewiele do zaoferowania, Barr próbuje najwyraźniej ratować sytuację.
W ostatnim czasie poszukiwał on aktywnie solidnego (czyt. wypłacalnego) zleceniodawcy, który sfinansowałby system do zarządzania fikcyjnymi osobami działającymi w Sieci oraz do analizowania i zbierania danych. Barr przedstawił amerykańskiej firmie Mantech ofertę opracowania za 100 tysięcy dolarów prototypu, z użyciem którego możliwe byłoby tworzenie i utrzymywanie fałszywych użytkowników. Mantech dostarcza technologie amerykańskim tajnym służbom, armii oraz organom ścigania. Na liście klientów firmy znajdują się między innymi amerykańska marynarka, lotnictwo wojskowe, FBI, NSA i Departament Bezpieczeństwa Narodowego.
Na przykładzie niewielkiego projektu pobocznego Barr nakreślił sposób, w jaki można by dobrze wykorzystać tego rodzaju sztucznie wykreowane osoby. Używając jednej z nich, zamierzał on zmanipulować program Low Orbit Ion Canon, a następnie rozpowszechnić szkodliwą wersję. Druga fałszywa osoba miała odkryć i napiętnować obarczoną trojanem aplikację. Tym samym pierwszy osobnik byłby wprawdzie spalony w środowisku, lecz odkrywca luki zyskałby uznanie wśród Anonimowych. Jednak korespondencja e-mailowa na temat tego projektu kończy się zdecydowaną odmową ze strony programisty ("I'm not compiling that shit on my box!").
Sabotażysta
O tym, że Barr nie przebiera w środkach, świadczy także analiza prawdopodobnych zagrożeń stwarzanych przez WikiLeaks, która została sporządzona przez HBGary Federal wraz z firmami Palantir i Berico. Jedno z zaleceń dotyczących postępowania z dziennikarzami piszącymi pozytywnie o demaskatorskim portalu brzmi: "Taka forma wsparcia musi zostać sparaliżowana". Analiza podaje również, w jaki sposób miałoby to zostać wykonane: tacy profesjonaliści jak wymieniony w raporcie z imienia i nazwiska Glenn Greenwald mają wprawdzie poglądy lewicowo-liberalne, jednak przy wyborze między karierą zawodową a ideałami zdecydowaliby się ostatecznie na to pierwsze.
Rootkity, trojany i exploity typu Zero Day
Także o spółce matce, którą rządzi Greg Hoglund, nie można powiedzieć, by miała jakiekolwiek skrupuły. Jednak HBGary ma w swojej ofercie przynajmniej prawdziwe produkty i dysponuje konkretną wiedzą, co zapewnia jej dochody. Najbardziej znanym produktem jest narzędzie HBGary Responder do analizy pamięci operacyjnej w systemach Windows. Jest ono często stosowane przez organy ścigania jako oprogramowanie wspomagające śledztwo, może być używane także do rozpoznawania szkodliwego kodu.
Wygląda na to, że w tajemnicy przed opinią publiczną Hoglund i spółka sprzedają dostosowane do konkretnych potrzeb trojany, rootkity i inne programy szpiegujące. Firma oferowała na przykład licencje na produkt HBGary Rootkit Keylogger Platform za 60 tysięcy dolarów. Ten rootkit kernela szpieguje komputery z Windows w sposób niezauważalny dla oprogramowania antywirusowego, narzędzi do rootkitów czy też osobistych zapór ogniowych. W cenie zawarty jest kod źródłowy, aby klient mógł dokonywać własnych poprawek.
Obecnie ulubionym projektem eksperta od zabezpieczeń, który sam siebie określa jako "serious bad ass", jest nowatorska koncepcja rootkita rozwijanego pod nazwą kodową 12 Monkeys lub Magenta. Ma on być niezauważalny dla wszelkich programów ochronnych, ponieważ nie jest skojarzony z konkretnymi procesami ani strukturami, lecz ciągle przemieszcza się w pamięci. Na opracowanie prototypu HBGary przeznaczył około 280 tysięcy dolarów. Prawie gotowy jest framework o nazwie Task B, za którego pomocą możliwe jest skompromitowanie komputera przez krótkotrwały dostęp za pośrednictwem portu USB, FireWire lub PC Card; trwają jeszcze dyskusje nad wersją dla iPoda.
Ponadto HBGary dostarcza także exploity typu Zero Day – a więc programy wykorzystujące luki w zabezpieczeniach, które nie zostały jeszcze załatane. Podobnie jednak jak handlarze narkotyków, także sprzedawcy tych szkodliwych kodów unikają nazywania ich po imieniu. Zamiast tego mówi się w tym wypadku o "soczystych owocach" ("juicy fruits"). Konkretnie rzecz biorąc, HBGary sprzedaje "owoce" m.in. dla środowisk VMware, Java i Flash.
O ile wspomagający śledztwa program Responder jest stosowany także przez europejskie organy ścigania (np. w Niemczech), o tyle w obszarze nieoficjalnych produktów HBGary wyspecjalizował się przede wszystkim w potrzebach rynku amerykańskiego. Jednym z ulubionych klientów jest koncern zbrojeniowy General Dynamics, ten z kolei sprzedaje swoje produkty amerykańskiej armii i tajnym służbom.
Anonimowi to my
Skompromitowanie amerykańskiej firmy sprzedającej produkty i usługi z zakresu bezpieczeństwa przedstawia fenomen Anonimowych w nowym świetle. Nawet jeśli ostatecznie okazało się, że metody ataku wcale nie musiały być szczególnie wyrafinowane, to jednak cała akcja była dziełem ekspertów dysponujących bardzo dużymi umiejętnościami.
Nie ma to już nic wspólnego z atakami DDoS na strony internetowe, a już na pewno jest czymś zupełnie innym niż średniej jakości dowcipy społeczności 4chan. W rozmowie z heise Security dwaj zaangażowani prawdopodobnie w całą sprawę aktywiści Anonimowych wyjaśnili, że nie mają nic wspólnego z działalnością grupy 4chan, która działała, zanim oni sami pojawili się na hakerskiej scenie. Przypomina to trochę znane z Polski zjawisko podszywania się niektórych członków forum Karachan pod użytkowników serwisu Wykop. W przypadku włamania do infrastruktury HB Gary Federal Anonimowym chodziło też o tzw. lulz (śmianie się z czegoś z odrobiną złośliwej satysfakcji). Zdobyte e-maile zostały jednak opublikowane, dopiero gdy grupa doszła do wniosku, że jej obowiązkiem jest ujawnienie opisanych w nich procederów.
Nie powinno się postrzegać Anonimowych jako nieuporządkowanej społeczności, która ślepo wykonuje rozkazy niewielkiej garstki osób z kierownictwa. Członkowie tworzą nieregularne struktury. Aktywna część organizuje się w grupy, które następnie narzucają własne reguły gry, z kolei inni pracują raczej w oparciu o porozumienie. Podczas operacji Payback określone decyzje poddawano głosowaniu.
Polityczne akcje wokół portalu WikiLeaks, a także wspieranie powstań w świecie arabskim zapewniły Anonimowym nie tylko rosnącą rzeszę sympatyków. Doprowadziły one również do tego, że ten internetowy fenomen pozyskuje coraz więcej członków z klasycznej społeczności hakerskiej, która niezbyt przepada za mało wyszukanymi dowcipami z czasów 4chan oraz potępia ataki DDoS, traktując je jako rodzaj wandalizmu.
Jeden z aktywistów grupy Anonymous przyznał w rozmowie z heise Security, że zaczął działać w grupie zaledwie cztery miesiące temu w ramach operacji OpTunisia i OpEgypt. Zrobił wrażenie miłego i otwartego człowieka, który zna Internet jeszcze z czasów Gophera i BBS-ów. Jednak to tylko jedna z twarzy kryjących się za maską. Tak naprawdę Anonimowi mogą być nieobliczalni – w końcu teoretycznie każdy z nas może stać się jednym z nich.
Komentarze (0)
Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
