Hakovan sajt odeljenja za visokotehnološki kriminal

LiquidBrain · 20. 04. 2011.

Citat:

Originalno napisao dinke

Ukratko, ovde se vise postavlja pitanje da li je kriv onaj ko je upao ili ovi "strucnjaci" koji su ostavili otkljucana vrata (admin/admin password) bez ikakve dodatne zastite?

Na zalost, ovde je kriv onaj koji je upao. Nas zakon ne poznaje odgovornost institucije ili kompanije za gubitak ili stetu koju je trece lice pretrpelo zbog odgovornosti same kompanije ili institucije...

Na zalost to je jedno jako pipavo pitanje, i kao sto sami znate, niko nece da sece granu na kojoj sedi...

vidak · 20. 04. 2011.

@ivanhoe

Ako je napad radio preko Joomle, mogao je da koristi/napravi skriptu koja će koristiti naša imena (mika, cica, zika...) i admin user + neka reč iz rečnika našeg jezika. Predpostavimo da je user mika koristio password 'merdevine' a ona se ne nalazi u engleskom rečniku. Ne znam da li postoji na netu neka skripta koja radi to za naš jezik pa bi lik morao sam da je pravi, a to ukazuje da je lik daleko od amaterizma. Ukoliko je ovako uhakovao Joomlu onda bi logovi trebali da budu solidno veliki (morao bi solidan broj puta da pokuša), a tu je problem vremena koje mu je potrebno za pristup putem anonymous proxy servera. Solidno velike logove su morali da uoče, a opet, ako je znao ime nekog od korisnika sistema koji nije admin (predpostavka je da je admin imao iole kompleksniji pass) onda mu je pola posla bilo odrađeno. U tom slučaju ako bi unapred znao neki user, lik bi imao dodirnih tačaka sa vtk i eventualno sa ocistimosrbiju.rs.

Druga opcija jeste da je Joomla imala neku komponentu koja je bila šuplja i da je tu rupu iskoristio za pristup Joomla.

Treća opcija je da je Joomla nije odavno bila update-ovana pa da je iskoristio neku od poznatih rupa. Pitanje je da li je na sajtu bio omogućen front-end user login pa mu je to olakšalo posao, jer mi se čini da odavno nije bila neka rupa koja dovodi do pribavljanja user/password a da je na back-end strani.

Ove tri opcije podrazumevaju da je nekako došao do kombinacije user/pass ili je uspeo da promeni pass za nekog od usera čiji je naziv znao.

Ono što povezuje napad na ocistimosrbiju.rs i vtk jeste emotivna komponenta napada t.j. izvrgavanje ruglu i navlačenje neiskusnih da pristupe uhakovanom sajtu. To nije samo jedna sličnost već tri a to znatno povećava šansu da je u pitanju ista osoba (treća sličnost je da su oba sajta državna).

Postoji mogućnost i da je putem nekog od protokola pristupio serveru. Složićeš se da je za to ipak potrebno dosta znanja i iskustva pa mi je teško da poverujem da bi se neko kompromitovao rušeći Joomla ako već ima ceo sistem na izvolte.

Moguća je i opcija da je lik znao kombinaciju user/pass i da mu ništa od ovog nije bilo potrebno, a u ovoj varijanti šanse su mu najslabije.

Isto tako moguće je da je neko napipavao password za admin user-a ali ako uzmemo kao tačnu predpostavku da je isti lik odradio ocistimosrbiju.rs i vtk mala je verovatnoća da mu se dva puta posrećilo, što znači da je nestručan a opet socijalna komponenta je u oba slučaja odlično odrađena.... hmmm.....

ivanhoe · 20. 04. 2011.

Citat:

Originalno napisao vidak

@ivanhoe
Ako je napad radio preko Joomle, mogao je da koristi/napravi skriptu koja će koristiti naša imena (mika, cica, zika...)

postojao je dictionary za JackTheRipper sa ex-yu recima i imenima jos tamo negde oko 2000., secam se da je mogao da se nadje na news-u za download, pretpostavljam da su ga do sad znacajno usavrsili i dopunili..

ne kazem, mozda je ovo zaista neki opasan lik, ali hocu da kazem da ne postoji nikakav razlog da nije mogao neki script kiddie da izvede isto to, uz malo zdravog razuma i vestine da sklopi par alata i upotrebi ih kako treba...

uostalom videcemo, mozda anti-vtk ekipa spere ljagu sa imena, pa ga uhapse...

djoca · 20. 04. 2011.

Citat:

Originalno napisao LiquidBrain

Na zalost, ovde je kriv onaj koji je upao. Nas zakon ne poznaje odgovornost institucije ili kompanije za gubitak ili stetu koju je trece lice pretrpelo zbog odgovornosti same kompanije ili institucije...

Na zalost to je jedno jako pipavo pitanje, i kao sto sami znate, niko nece da sece granu na kojoj sedi...

Nesavestan rad u službi
Član 361
(1) Službeno lice koje kršenjem zakona ili drugih propisa ili opštih akata, propuštanjem dužnosti nadzora ili na drugi način očigledno nesavesno postupa u vršenju službe, iako je bilo svesno ili je bilo dužno i moralo biti svesno da usled toga može nastupiti teža povreda prava drugog ili imovinska šteta, pa takva povreda, odnosno šteta u iznosu koji prelazi četristopedeset hiljada dinara i nastupi, kazniće se novčanom kaznom ili zatvorom do tri godine.
(2) Ako je usled dela iz stava 1. ovog člana došlo do teške povrede prava drugog ili je nastupila imovinska šteta u iznosu koji prelazi milion i petsto hiljada dinara, učinilac će se kazniti zatvorom od šest meseci do pet godina.
(3) Odgovorno lice u ustanovi ili drugom subjektu, osim onih koje se bave privrednom delatnošću, koje učini delo iz st. 1. i 2. ovog člana, kazniće se kaznom propisanom za to delo.

20. 04. 2011.	#2
vidak Banned Expert Datum učlanjenja: 29.09.2007 Poruke: 458 Hvala: 131 71 "Hvala" u 44 poruka	@ivanhoe Ako je napad radio preko Joomle, mogao je da koristi/napravi skriptu koja će koristiti naša imena (mika, cica, zika...) i admin user + neka reč iz rečnika našeg jezika. Predpostavimo da je user mika koristio password 'merdevine' a ona se ne nalazi u engleskom rečniku. Ne znam da li postoji na netu neka skripta koja radi to za naš jezik pa bi lik morao sam da je pravi, a to ukazuje da je lik daleko od amaterizma. Ukoliko je ovako uhakovao Joomlu onda bi logovi trebali da budu solidno veliki (morao bi solidan broj puta da pokuša), a tu je problem vremena koje mu je potrebno za pristup putem anonymous proxy servera. Solidno velike logove su morali da uoče, a opet, ako je znao ime nekog od korisnika sistema koji nije admin (predpostavka je da je admin imao iole kompleksniji pass) onda mu je pola posla bilo odrađeno. U tom slučaju ako bi unapred znao neki user, lik bi imao dodirnih tačaka sa vtk i eventualno sa ocistimosrbiju.rs. Druga opcija jeste da je Joomla imala neku komponentu koja je bila šuplja i da je tu rupu iskoristio za pristup Joomla. Treća opcija je da je Joomla nije odavno bila update-ovana pa da je iskoristio neku od poznatih rupa. Pitanje je da li je na sajtu bio omogućen front-end user login pa mu je to olakšalo posao, jer mi se čini da odavno nije bila neka rupa koja dovodi do pribavljanja user/password a da je na back-end strani. Ove tri opcije podrazumevaju da je nekako došao do kombinacije user/pass ili je uspeo da promeni pass za nekog od usera čiji je naziv znao. Ono što povezuje napad na ocistimosrbiju.rs i vtk jeste emotivna komponenta napada t.j. izvrgavanje ruglu i navlačenje neiskusnih da pristupe uhakovanom sajtu. To nije samo jedna sličnost već tri a to znatno povećava šansu da je u pitanju ista osoba (treća sličnost je da su oba sajta državna). Postoji mogućnost i da je putem nekog od protokola pristupio serveru. Složićeš se da je za to ipak potrebno dosta znanja i iskustva pa mi je teško da poverujem da bi se neko kompromitovao rušeći Joomla ako već ima ceo sistem na izvolte. Moguća je i opcija da je lik znao kombinaciju user/pass i da mu ništa od ovog nije bilo potrebno, a u ovoj varijanti šanse su mu najslabije. Isto tako moguće je da je neko napipavao password za admin user-a ali ako uzmemo kao tačnu predpostavku da je isti lik odradio ocistimosrbiju.rs i vtk mala je verovatnoća da mu se dva puta posrećilo, što znači da je nestručan a opet socijalna komponenta je u oba slučaja odlično odrađena.... hmmm..... Poslednja izmena od vidak : 20. 04. 2011. u 02:32.