pealtnägija ja küberkriminaalia

Nagu Pealtnägija eelinfost lugeda toimub sedapuhku mitu eksperimenti – tabatakse ühed võõra krediitkaardinumbriga kaupa tellinud noored ning yours truly esineb mõningate kommentaaridega ja proovib toimuvat illustreerida ühe rünnakuga iseenda kui netipanga kasutaja vastu.

Täpsemad detailid pärast saadet, seni võib leida taustalugemist laupse Tehnokrati postitusest (ning saadet võib muidugi kah kuulata, sisu paljuski samasuunaline): arvutikaitse ja kuritarkvara (osa saate juurde puutuvaid kommentaare on varasema kolimis-postituse juures).

EDIT2: Postimehes pikem lugu kah: Netis pakutav varastatud info ahvatleb noori kuritegudele

EDIT: nüüd on vist kohane lisada paar sõna tehtud eksprimendi kohta. Nimelt lubasin Rasmusele teemat kommenteerida ja mõtlesin, et peaks nagu tegema midagi peale loba… ehk oleks vaja mingit phishingut, keyloggerit, kuhugi sissemurdmist… Probleemile on kaks lahendust: otsida Google’ist või küsida Tõnu Samuelilt. Paadunud Google’i-fännina küsisin mõistagi kõigepealt Samuelilt mida tema demoks pruugib:

Tõnu Samuel @ Räpina 1/2/08 12:13 PM

ma rohkem rahvale brauseri auke näidanud

brauserist saab clipboardi varastada jms

see ehmatab neid tavaliselt rohkem

Peeter Marvet 1/2/08 12:14 PM

millega sa seda demod, miski veebisait?

Tõnu Samuel @ Räpina 1/2/08 12:14 PM

beef

mul tegelt mitu asja tehtud aga otsi beef xss

Tõesti, bindshell.net/tools/beef sobib demoks kenasti: veebirakendus mis lubab sobilikule lehele javascripti istutada ning siis seda lehte külastavate kodanike ehk zombide tegevust jälgida ja võimalust mööda ka juhtida. Pikema jutu asemel vaadatagu autorite ekraaniviisorit.

Aga kuna ma ei viitsinud clipboardi varastamiseks vajalikku IEd installima hakata, siis jäi silma võimalus näha mida kasutaja tipib. Seega phish, vabalt netis saada olev demo-sploit ja miski sihtmärk… Milleks olgu tähestiku järjekorras esimene pank (mille PIN-kalkulaator mul juhtumisi olemas on).

Firefox’is hanzaneti esilehele Save-as, veidi mudimist Notepad’is (kuna kõik ei salvestunud hästi ning tundus hea mõte lisada teavitus eksperimendist… ning mõistagi väike skript sploidi tarbeks) ja tulemus kuhugi välja. Jah, teles vilksanud pencillin.net on minu domeen, asub makstud hostingus ning neil on isegi mu IDkaarti skänn olemas (kuna nad muidu ei lubanud SSH ligipääsu). Ei, sealt pole enam mõtet BeEF’i otsida :-)

kergelt muudetud netipank

Iseenesest pole see teab mis hull häkk või turvaauk, st otseloomulikult suudab lehel X olev javascript andmeid kuhugi serverisse saata (mh AJAX põhineb sellel), aga sellegipoolest huvitav näha kuidas ühes arvutis tipitud numbrid teises nähtavale ilmuvad. Tegin proovi PIN-kalkulaatoriga ja asi toimis nigu naksti (ainsa probleemina ei edastanud BeEF kasutajatunnuse alguses olevat nulli, aga see on tõenäoliselt kergelt paigatav). Arenduse käigus võiks muidugi kasutajatunnuse ja parooli kenasti märgendatuna edastada ning teisel pool võiks olla skript, mis nendega kohe ka sisse logida üritab…

Ainult et päev pärast eksperimenti – ja enne kui ma neid inffida jõudsin – helistas JP Hansapangast ja teatas, et ta kolleegid olevat avastanud mingi ajakirjandusliku eksperimendi ning ta tahaks (a) teada mis see (b) et see saaks ruttu maha võetud. Ma ei hakka igaks juhuks uurima mis minu tegevuses täpselt neile silma hakkas (vahest mõni lehe salvestamise käigus kaasa tulnud javascript helistas koju?), aga väidetavasti olevat selliste asjade ennetähtaegne avastamine pigem reegel kui erand. Rspct!

Moraal? Kuigi Swen (kelle seisukohtadega ma üldjoontes nõustun) on laupset saadet / postitust kommenteerides pidanud vajalikuks rõhutada IDkaardi rünnatavust… siis ma väidan, et kui kaardi-ja-PINide-loovutamine kõrvale jätta ei piisa selle saavutamiseks minusuguse keskmise kasutaja küsimusest Tõnule (või Swenile) ja 15-minutilisest häkist.

Postitatud rubriiki cybercrime, meistjameile märksõnaga , , . Talleta püsiviide. Kommenteerimine ja trackback-viidete lisamine ei ole lubatud.

10 Kommentaarid

  1. Lisatud 9. jaan. 2008 kell 20:39 | Püsiviide

    Niisama, kommentaariks, et kunagi Sa(Peeter) mainisid, et USA’s inimesed aktiivselt tegelevad avaliku info abil igasuguste poliitikute kohta käivate koondtabelite koostamisega. Võimali, et Sa oled sellest juba teadlik, aga üks päris huvitav koondtabelite kogu on

    http://www.opensecrets.org/

    Seal käsitletakse ka eraldi praeguseid presidendivalimisi.

    Kogutud raha koondtabel: http://www.opensecrets.org/pres08/index.asp

    Eriti meeldib mulle http://www.2008electionprocon.org/ , kus paremal on poliitiliselt aktuaalsete küsimuste loetelu, kus klikates saab vaadata kõigi presidendikandidaatide seisukohti antud küsimustes, koos algallikate ja tsitaatidega.

  2. Lisatud 9. jaan. 2008 kell 22:39 | Püsiviide

    Niisama, kommentaariks, et kunagi Sa(Peeter) mainisid, et USA’s inimesed aktiivselt tegelevad avaliku info abil igasuguste poliitikute kohta käivate koondtabelite koostamisega. Võimali, et Sa oled sellest juba teadlik, aga üks päris huvitav koondtabelite kogu on

    http://www.opensecrets.org/

    Seal käsitletakse ka eraldi praeguseid presidendivalimisi.

    Kogutud raha koondtabel: http://www.opensecrets.org/pres08/index.asp

    Eriti meeldib mulle http://www.2008electionprocon.org/ , kus paremal on poliitiliselt aktuaalsete küsimuste loetelu, kus klikates saab vaadata kõigi presidendikandidaatide seisukohti antud küsimustes, koos algallikate ja tsitaatidega.

  3. Lisatud 9. jaan. 2008 kell 20:44 | Püsiviide

    Natukene egotsemist: vastuste põhjal on minu lemmik Dennis Kucinich. Oluliseimad aspektid, mida vaatasin, on, et kandidaat oleks surmanuhtluse vastane, ei pooldaks piinamist. Ülejäänud vastused näisid kah mulle sobivat, näiteks üldise arstiabi kättesaadavuse pooldamine.

  4. Lisatud 9. jaan. 2008 kell 22:44 | Püsiviide

    Natukene egotsemist: vastuste põhjal on minu lemmik Dennis Kucinich. Oluliseimad aspektid, mida vaatasin, on, et kandidaat oleks surmanuhtluse vastane, ei pooldaks piinamist. Ülejäänud vastused näisid kah mulle sobivat, näiteks üldise arstiabi kättesaadavuse pooldamine.

  5. Lisatud 9. jaan. 2008 kell 20:45 | Püsiviide

    Neil on seal jah päris palju igasugust rohujuure-algatust selles vallas. Ma pakun, et mainisin üht Jon Udelli podcasti Greg Elin’iga Sunlight Labs’ist http://itc.conversationsnetwork.org/shows/detail1901.html (ja Lessigi tegevust selles vallas).

  6. Lisatud 9. jaan. 2008 kell 22:45 | Püsiviide

    Neil on seal jah päris palju igasugust rohujuure-algatust selles vallas. Ma pakun, et mainisin üht Jon Udelli podcasti Greg Elin’iga Sunlight Labs’ist http://itc.conversationsnetwork.org/shows/detail1901.html (ja Lessigi tegevust selles vallas).

  7. x
    Lisatud 10. jaan. 2008 kell 09:44 | Püsiviide

    Tõenäoliselt oli selles kopeeritud lehes ikkagi mingi viide originaalse hanza lehe mõnele komponendile (pilt, stylesheet, skript vms), ning kuna brauser edastab refereri, siis edasi on tõesti ainult rutiini küsimus.

    Muide, kas sa olid valmis ka võimaluseks et lugupeetud pank annab asja kohtusse seoses kaubamärgi rikkumise ning intellektuaalse omandi ärandamisega (kodulehe disaini kopeerimine?)

  8. x
    Lisatud 10. jaan. 2008 kell 11:44 | Püsiviide

    Tõenäoliselt oli selles kopeeritud lehes ikkagi mingi viide originaalse hanza lehe mõnele komponendile (pilt, stylesheet, skript vms), ning kuna brauser edastab refereri, siis edasi on tõesti ainult rutiini küsimus.

    Muide, kas sa olid valmis ka võimaluseks et lugupeetud pank annab asja kohtusse seoses kaubamärgi rikkumise ning intellektuaalse omandi ärandamisega (kodulehe disaini kopeerimine?)

  9. Mati
    Lisatud 13. jaan. 2008 kell 10:58 | Püsiviide

    Jeremy Jackson on küll teise ekspertiisi mees, kuid tema levitas kõigest oma arvenumbrit ja soovitas häkkeritel sinna raha juurde kanda. Natukese aja pärast juba oligi tema pangas käidud.

    http://www.autoblog.com/2008/01/07/jeremy-clarksons-bank-account-hacked-to-prove-a-point/

    Arvata võib, et see väheke webikaugem piraatlus oli.

  10. Mati
    Lisatud 13. jaan. 2008 kell 12:58 | Püsiviide

    Jeremy Jackson on küll teise ekspertiisi mees, kuid tema levitas kõigest oma arvenumbrit ja soovitas häkkeritel sinna raha juurde kanda. Natukese aja pärast juba oligi tema pangas käidud.

    http://www.autoblog.com/2008/01/07/jeremy-clarksons-bank-account-hacked-to-prove-a-point/

    Arvata võib, et see väheke webikaugem piraatlus oli.

  • Viimane veerg

    Mina olen Peeter Marvet (pets@tehnokratt.net). Ei saa täielikult välistada, et see siin oli kunagi minu ajaveeb. Kirjapandu ei pruugi väljendada seisu- ega istmekohti. Seoses surutisega esilehe mahtu vähendatud 8%. Lisandub käibemaks, Tallinna elanikel ka müügi- ja paadimaks. Pakendatud gaasikeskkonda. Valmistatud arvutis milles võib leiduda väheses koguses piima- ja pähklitükke. Ei sisalda hüdrogeenitud (transarasvavabasid) taimseid rasvhappeid, sisaldab vahustatud lämmastikku.