[ Update 24/01/2011 ]
O Rafal Los (Wh1t3Rabbit), da HP, publicou uma entrevista feita com o "hacker" responsável pelo site que vende as informações de login e de BD dos sites vulneráveis.
Q: Do you have any ethical problems with exploiting and then profiting from poor security on these sites?A: "Each vulnerable site i face. I directly email the Web admin. If I see no reply I publish it."
Mais uma vez, a reação a este tipo de incidente é fundamental. Eu já citei este material em outro post, mas vale a pena reforçar a leitura:
De Criminal Specialization as a corollary of Rational Choice - Dr Craig Wright:
Crime is explained by three factors, motive, opportunity and an absence of capable governance or guardianship. An increase in defenses that lowers the effect of any of these factors moves the amount of composite goods that can be obtained by the cybercriminal for any set level of criminal activity. The rational choices made by agents considering criminal actions are decreased through a combination of price policy and benevolence policy. This applies at both a societal level and to individual organizations where increased defenses lower an organizations probability of attack by making their competitors more attractive lower cost opportunities.
[ Post Original 23/01/2011 ]
Há dois dias, a Imperva divulgou que vários sites militares, educacionais e de governo (.mil, .edu, e .gov) que foram comprometidos estavam sendo vendidos abertamente na internet.
O analista que fez a divulgação tomou pouco cuidado ao mostrar evidências de sua alegação - quando vi o post da Imperva, imaginei que mais cedo ou mais tarde isto acabaria sendo divulgado mais amplamente.. e foi o que aconteceu, agora a fonte dos dados já é pública.
Uma pesquisa simples no google com alguns termos que são visíveis na imagem que foi postada ("website hacking" "offers" "services") - dá como primeiro hit o próprio site http://www.srblche.com/ (o site foi removido, mas o cache do google ainda funciona) - que vende o acesso administrativo dos sites que foram invadidos. Ele até divulga um email no Gmail para contato - o que deve facilitar a identificação do responsável pelas autoridades. (Como "tira gosto" o site chega a divulgar detalhes de autenticação de sites menos "preciosos").
A verdade é que o controle administrativo destes sites está sendo vendido abertamente, assim como o conteúdo dos bancos de dados (nomes, emails, telefones, etc..) que já foram capturados e "empacotados" para a venda pelos atacantes..
No post da Imperva pode ser visto que o atacante usou ferramentas automatizadas de verificação de SQL Injection para obter parte das credenciais que são vendidas ilegalmente. Provavelmente ferramentas de força bruta de formulários web tenham sido usados também.
Apesar deste tipo de comércio ser conhecido há anos, é óbvio que o ecosistema do cybercrime está cada vez mais diversificado. O que chama a atenção neste caso é a presunção de impunidade do criador do site, que divulga senhas (de root, de administrador de bancos de dados, de consoles de administração de sites, etc) de sites governamentais e militares - sem nem mesmo achar que há necessidade de login em um fórum underground (como é o modelo mais comum) - Update: ele costumava fazer isto (mas o site é aberto e seus posts estão no cache do google), até ter a idéia de registrar um website.
Há dois dias, a Imperva divulgou que vários sites militares, educacionais e de governo (.mil, .edu, e .gov) que foram comprometidos estavam sendo vendidos abertamente na internet.
O analista que fez a divulgação tomou pouco cuidado ao mostrar evidências de sua alegação - quando vi o post da Imperva, imaginei que mais cedo ou mais tarde isto acabaria sendo divulgado mais amplamente.. e foi o que aconteceu, agora a fonte dos dados já é pública.
Uma pesquisa simples no google com alguns termos que são visíveis na imagem que foi postada ("website hacking" "offers" "services") - dá como primeiro hit o próprio site http://www.srblche.com/ (o site foi removido, mas o cache do google ainda funciona) - que vende o acesso administrativo dos sites que foram invadidos. Ele até divulga um email no Gmail para contato - o que deve facilitar a identificação do responsável pelas autoridades. (Como "tira gosto" o site chega a divulgar detalhes de autenticação de sites menos "preciosos").
A verdade é que o controle administrativo destes sites está sendo vendido abertamente, assim como o conteúdo dos bancos de dados (nomes, emails, telefones, etc..) que já foram capturados e "empacotados" para a venda pelos atacantes..
No post da Imperva pode ser visto que o atacante usou ferramentas automatizadas de verificação de SQL Injection para obter parte das credenciais que são vendidas ilegalmente. Provavelmente ferramentas de força bruta de formulários web tenham sido usados também.
Apesar deste tipo de comércio ser conhecido há anos, é óbvio que o ecosistema do cybercrime está cada vez mais diversificado. O que chama a atenção neste caso é a presunção de impunidade do criador do site, que divulga senhas (de root, de administrador de bancos de dados, de consoles de administração de sites, etc) de sites governamentais e militares - sem nem mesmo achar que há necessidade de login em um fórum underground (como é o modelo mais comum) - Update: ele costumava fazer isto (mas o site é aberto e seus posts estão no cache do google), até ter a idéia de registrar um website.
Um acontecimento semelhante ocorreu no mercado da venda de vulnerabilidades "0-day" em 2005, quando foi anunciada no e-bay a venda de uma vulnerabilidade conhecida do Microsoft Excel - lembram-se disto?
Quanto à exploração de websites mal codificados - isto está longe de ser uma novidade, mas é interessante perceber as diferentes formas de comercializar ilegalmente o material obtido.
Depois da invasão de um site, além da desfiguração/defacement (1) destes, é comum a utilização dos sites com mais visitas para inserção de exploits para distribuição de drive-by downloads (2). Nos sites menos populares, são muitas vezes hospedadas páginas falsas de bancos, arquivos hosts, de configuração de proxy (para redirecionamento de clientes bancários), além de arquivos de configuração e processamento de campanhas de phishing bancário (3), por exemplo.
A venda do conteúdo dos bancos de dados e do controle destes sites "high profile" de forma tão aberta é certamente um sinal dos tempos.. Assim como o caso de ransomware que tratamos em outro post aqui no blog, não são aceitos Mastercard e Visa, nem mesmo o PayPal. Neste caso o método de pagamento de escolha é o "Liberty Reserve".
Os leitores mais atentos vão lembrar do recente Post "10 Curtas" em que é exposta uma situação similar que ocorreu/ocorre no Brasil (bullet "C2C"). Quanto à crescente facilidade de identificação de sites vulneráveis, recomendo um outro post, sobre o Shodan.
Quanto à exploração de websites mal codificados - isto está longe de ser uma novidade, mas é interessante perceber as diferentes formas de comercializar ilegalmente o material obtido.
Depois da invasão de um site, além da desfiguração/defacement (1) destes, é comum a utilização dos sites com mais visitas para inserção de exploits para distribuição de drive-by downloads (2). Nos sites menos populares, são muitas vezes hospedadas páginas falsas de bancos, arquivos hosts, de configuração de proxy (para redirecionamento de clientes bancários), além de arquivos de configuração e processamento de campanhas de phishing bancário (3), por exemplo.
A venda do conteúdo dos bancos de dados e do controle destes sites "high profile" de forma tão aberta é certamente um sinal dos tempos.. Assim como o caso de ransomware que tratamos em outro post aqui no blog, não são aceitos Mastercard e Visa, nem mesmo o PayPal. Neste caso o método de pagamento de escolha é o "Liberty Reserve".
Os leitores mais atentos vão lembrar do recente Post "10 Curtas" em que é exposta uma situação similar que ocorreu/ocorre no Brasil (bullet "C2C"). Quanto à crescente facilidade de identificação de sites vulneráveis, recomendo um outro post, sobre o Shodan.
Caramba, quanta informacao em uma pagina soh! Chega doi a cabeca pra entender.. rsrsrs
ReplyDeletemuito show teu blog, util pra caramba pros estudantes de SI, com certeza, keep the good work!
Gostei da imagem, Sandro!
ReplyDeleteEu tinha visto o post da Imperva, e fui conferir o site do cara. Realmente ele é bem cara-de-pau.
Só não confiei muito nas "evidências" que ele colocou no site. São só algumas telas, de alguns sites "hackeados".
Abraço!
Pedro Quintanilha
Obrigado Anônimo e Quitalinha - pela nobre visita e comentários!
ReplyDeleteOn the SANS Institute's forensics blog, I have published new methods for preserving and authenticating evidence in a cyber investigation. What is your opinion? --Ben
ReplyDeleteHi Bejamin, thanks for your comment.
ReplyDeleteI think your contribution is great, I had the opportunity to use a tool called WebCase from VereSoftware that has some similarities to your approach: http://veresoftware.com/index.php?page=webcase---features
Talking about features, the webcam capturing is really great and I think that if you add network capturing and maybe even some basic web session reconstruction to it, it would be great!
Have you heard of them?
Best Regards,
S.S.