Hakovan sajt odeljenja za visokotehnološki kriminal

vidak · 20. 04. 2011.

@ivanhoe

Ako je napad radio preko Joomle, mogao je da koristi/napravi skriptu koja će koristiti naša imena (mika, cica, zika...) i admin user + neka reč iz rečnika našeg jezika. Predpostavimo da je user mika koristio password 'merdevine' a ona se ne nalazi u engleskom rečniku. Ne znam da li postoji na netu neka skripta koja radi to za naš jezik pa bi lik morao sam da je pravi, a to ukazuje da je lik daleko od amaterizma. Ukoliko je ovako uhakovao Joomlu onda bi logovi trebali da budu solidno veliki (morao bi solidan broj puta da pokuša), a tu je problem vremena koje mu je potrebno za pristup putem anonymous proxy servera. Solidno velike logove su morali da uoče, a opet, ako je znao ime nekog od korisnika sistema koji nije admin (predpostavka je da je admin imao iole kompleksniji pass) onda mu je pola posla bilo odrađeno. U tom slučaju ako bi unapred znao neki user, lik bi imao dodirnih tačaka sa vtk i eventualno sa ocistimosrbiju.rs.

Druga opcija jeste da je Joomla imala neku komponentu koja je bila šuplja i da je tu rupu iskoristio za pristup Joomla.

Treća opcija je da je Joomla nije odavno bila update-ovana pa da je iskoristio neku od poznatih rupa. Pitanje je da li je na sajtu bio omogućen front-end user login pa mu je to olakšalo posao, jer mi se čini da odavno nije bila neka rupa koja dovodi do pribavljanja user/password a da je na back-end strani.

Ove tri opcije podrazumevaju da je nekako došao do kombinacije user/pass ili je uspeo da promeni pass za nekog od usera čiji je naziv znao.

Ono što povezuje napad na ocistimosrbiju.rs i vtk jeste emotivna komponenta napada t.j. izvrgavanje ruglu i navlačenje neiskusnih da pristupe uhakovanom sajtu. To nije samo jedna sličnost već tri a to znatno povećava šansu da je u pitanju ista osoba (treća sličnost je da su oba sajta državna).

Postoji mogućnost i da je putem nekog od protokola pristupio serveru. Složićeš se da je za to ipak potrebno dosta znanja i iskustva pa mi je teško da poverujem da bi se neko kompromitovao rušeći Joomla ako već ima ceo sistem na izvolte.

Moguća je i opcija da je lik znao kombinaciju user/pass i da mu ništa od ovog nije bilo potrebno, a u ovoj varijanti šanse su mu najslabije.

Isto tako moguće je da je neko napipavao password za admin user-a ali ako uzmemo kao tačnu predpostavku da je isti lik odradio ocistimosrbiju.rs i vtk mala je verovatnoća da mu se dva puta posrećilo, što znači da je nestručan a opet socijalna komponenta je u oba slučaja odlično odrađena.... hmmm.....

20. 04. 2011.	#11
vidak Banned Expert Datum učlanjenja: 29.09.2007 Poruke: 458 Hvala: 131 71 "Hvala" u 44 poruka	@ivanhoe Ako je napad radio preko Joomle, mogao je da koristi/napravi skriptu koja će koristiti naša imena (mika, cica, zika...) i admin user + neka reč iz rečnika našeg jezika. Predpostavimo da je user mika koristio password 'merdevine' a ona se ne nalazi u engleskom rečniku. Ne znam da li postoji na netu neka skripta koja radi to za naš jezik pa bi lik morao sam da je pravi, a to ukazuje da je lik daleko od amaterizma. Ukoliko je ovako uhakovao Joomlu onda bi logovi trebali da budu solidno veliki (morao bi solidan broj puta da pokuša), a tu je problem vremena koje mu je potrebno za pristup putem anonymous proxy servera. Solidno velike logove su morali da uoče, a opet, ako je znao ime nekog od korisnika sistema koji nije admin (predpostavka je da je admin imao iole kompleksniji pass) onda mu je pola posla bilo odrađeno. U tom slučaju ako bi unapred znao neki user, lik bi imao dodirnih tačaka sa vtk i eventualno sa ocistimosrbiju.rs. Druga opcija jeste da je Joomla imala neku komponentu koja je bila šuplja i da je tu rupu iskoristio za pristup Joomla. Treća opcija je da je Joomla nije odavno bila update-ovana pa da je iskoristio neku od poznatih rupa. Pitanje je da li je na sajtu bio omogućen front-end user login pa mu je to olakšalo posao, jer mi se čini da odavno nije bila neka rupa koja dovodi do pribavljanja user/password a da je na back-end strani. Ove tri opcije podrazumevaju da je nekako došao do kombinacije user/pass ili je uspeo da promeni pass za nekog od usera čiji je naziv znao. Ono što povezuje napad na ocistimosrbiju.rs i vtk jeste emotivna komponenta napada t.j. izvrgavanje ruglu i navlačenje neiskusnih da pristupe uhakovanom sajtu. To nije samo jedna sličnost već tri a to znatno povećava šansu da je u pitanju ista osoba (treća sličnost je da su oba sajta državna). Postoji mogućnost i da je putem nekog od protokola pristupio serveru. Složićeš se da je za to ipak potrebno dosta znanja i iskustva pa mi je teško da poverujem da bi se neko kompromitovao rušeći Joomla ako već ima ceo sistem na izvolte. Moguća je i opcija da je lik znao kombinaciju user/pass i da mu ništa od ovog nije bilo potrebno, a u ovoj varijanti šanse su mu najslabije. Isto tako moguće je da je neko napipavao password za admin user-a ali ako uzmemo kao tačnu predpostavku da je isti lik odradio ocistimosrbiju.rs i vtk mala je verovatnoća da mu se dva puta posrećilo, što znači da je nestručan a opet socijalna komponenta je u oba slučaja odlično odrađena.... hmmm..... Poslednja izmena od vidak : 20. 04. 2011. u 02:32.