Opět uplynul nějaký ten čas a tak se společně podíváme co je nového v IT news. Zajímá váš, jak FBI hledá anonyma? Myslíte si, že jste za anonymní přezdívkou a emailem v bezpečí? To si jen myslíte.
Security update pro rodinu programů Mozilla
Jde sice o trošku starší věc, ale opomenout bychom jí neměli. Jak Mozilla Firefox tak Thunderbird nám povyšují na verzi 2.0.0.5, ve kterých je opraveno pár bezpečnostních děr a vývojáři doporučují co nejdříve updatovat. Stahovat můžete zde:
A pro zvídavé seznam opravených chyb ve Firefox :
MFSA 2007-25 XPCNativeWrapper pollution
MFSA 2007-24 Unauthorized access to wyciwyg:// documents
MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer
MFSA 2007-22 File type confusion due to %00 in name
MFSA 2007-21 Privilege escalation using an event handler attached to an element not in the document
MFSA 2007-20 Frame spoofing while window is loading
MFSA 2007-19 XSS using addEventListener and setTimeout
MFSA 2007-18 Crashes with evidence of memory corruption
No a protože děr má Firefox skutečně hodně (což je daň za čím dál větší rozšířenost //EDIT by DD: Chápáno ve smyslu více uživatelů, více objevených děr, větší nutnost zalátávání//), tak nedlouho po 2.0.0.5 nás navštívil další update, tentokrát již verze 2.0.0.6. V něm byla opravena díra vzniklá po opravě 2.0.0.5. Bohužel zatím jen v samotném Firefox. Stahovat můžete odtud
Jak vyhledat anonyma? Podle FBI je vir to pravé
Americký Federální úřad pro vyšetřování (FBI) zajistil ručně psaný dopis (následně i emaily), který byl adresován střední škole Timberline High School ve Washingtonu s textem, že anonym nechá v prostorách školy vybuchnout bombu. Škola byla samozřejmě promptně evakuována a výhrůžky se nakonec ukázaly jako plané. O 4 dny později se situace opakovala s tím rozdílem, že dopis již nebyl na papíře, ale elektronický a odeslaný z freemailu www.gmail.com a účtu dougbriggs123. V emailu dotyčný tvrdil: „Ve škole jsou 4 bomby a emailový server vaší čtvrti bude v 8:45 následujícího dne odpojen." Bombový útok se opět ukázal jako lichý nicméně emailový server byl skutečně vyřazen z provozu známou technikou skrytou pod zkratkou DoS (Denial of Servise - zahlcení serveru mnoha požadavky v krátkém časovém intervalu, kdy dojde k zahlcení a zkolabování serveru). Takto útočník ve svém řádění pokračoval dál a jeho drzost se projevovala i urážkami policistů a neschopností IT odborníků ho vystopovat. Nakonec svůj výsměch završil prohlášeními: „Jo a policistům a technologickým idiotům z policejního oddělení, co se mě snaží vypátrat. Poradím vám. Mail jsem poslal z nově založeného Gmail účtu, ze zámoří a cizí země. (...) Tak hodně štěstí, až se budete od Italů snažit zjistit, komu ten počítač patří." "Měli byste si najmout Billa Gatese, aby mě za vás vystopoval. HAHAHAHA. A ten vám akorát řekne, že je to ze zámoří, takže jestli jste zadobře s papežem, možná to půjde..."
Každý svůj nový vzkaz zaslal z nově založeného emailu, který měl buď podobu shluku nesmyslných písmen, nebo jména cizí osoby. Anonym si také založil profil na světoznámém portálu MySpace, kde nutil studenty ze zmíněné střední školy, aby si ho přidali do přátel pod podmínkou, že jinak použije jejich jména a údaje do spojitosti s falešnými bombovými útoky.
A teď se konečně dostáváme k jádru pudla... Ono samotné vystopování není zrovna jednoduchá věc a tak vyšetřovatelé na to nakonec nešli jako obvykle (opatřování výpisů od poskytovatele připojení, freemailu, hledání IP adres, atd.,...), nýbrž si nechali vytvořit variantu infiltrace keyloggeru a backdooru s názvem CIPAV ("computer and internet protocol address verifier", tedy "ověřovač adres počítačů a internetových protokolů"). Získání soudního povolení na použití takovéhoto programu již pro FBI není problém.
Samotné nasazení proběhlo (pravděpodobně) zneužitím některé z nezjištěných chyb ve službě MySpace nebo samovolným spuštěním uživatelem (což se mi zdá nepravděpodobné).
CIPAV z útočníkova PC zachytil hned po infiltraci tato data:
- IP adresu
- MAC adresu
- seznam otevřených portů
- seznam běžících programů
- typ, verzi a sériové číslo operačního systému
- verzi prohlížeče
- uživatelské jméno uživatele, případně jméno společnosti
- naposledy navštívené adresy
FBI požádaly soud o 10 denní použití tohoto programu a jen sbírali a filtrovali informace o každé síťové aktivitě... Po uplynutí doby se skutečně podařilo útočníka dopadnout a asi se nestačili divit, neboť šlo o 15 letého výrostka Joshe Glazebrooka z již výše zmíněné střední školy... U výslechu se dotyčný ke všem bodům obžaloby přiznal a škola následně studenta vyloučila. Perličkou je, že skutečně IP adresa byla italského internetového poskytovatele (útočník nahackoval úplně cizí PC, které používal k zakrytí stop). Je to sice ojedinělý zveřejněný případ, nicméně je jasné, že použití podobných sledovacích technik bude růst.
Tak a tím bychom dnes IT news ukončili. Příště se podíváme zase na jiné zajímavosti.
AUTOR: Jan "DD" Stach |
---|
Radši dělám věci pomaleji a pořádně, než rychle a špatně. |
|