Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Interjú a hackerekkel, akik múlt pénteken megtámadták Amerikát

Nem az oroszok voltak

2016. október 25. - hackerfeleség

Múlt hét pénteken az Egyesült Államok történelmének legnagyobb DDoS támadását a New World Hackers nevű csoport vállalta magára. Ezzel egy időre nagyjából kinyírták a Twittert, a Spotify-t, a Reddit-et, a PayPal-t és még sok oldalt, ugyanis a masszív túlterheléses (DDoS) támadás az egyik legnagyobb DNS szolgáltató ellen zajlik.

Újévkor ez a hackercsapat tette pár órára elérhetetlenné egy hasonló támadással a BBC oldalát. De ez a mostani támadás ennél lényegesen nagyobb.

Ezzel egyébként remekül rámutattak arra, hogy mennyire sérülékeny is az internetünk, a gépeink, az okoseszközeink.

 

  • Tavaly a BBC-t támadtátok erődemonstrálásként. Mi késztetett arra, hogy most a twittert és más szolgáltatásokat támadjátok?
    • Minden évben teszteljük az erőnket és ez valójában Oroszország ellen irányul. A képességek tesztelése a kulcs. Ebből látjuk, mekkora sávszélességet generál egy támadás.
  • Milyen nagy a botnetetek? (*Botnet: élő internetkapcsolattal rendelkező számítógépek, melyeken átvették az irányítást. - HF)
    • A mi botnetünk több, mint 100.000 IoT eszközből álló szuperszámítógép. - (IoT: Internet of Things, tehát internetkapcsolattal rendelkező eszközök, okoshűtő, okostelefon, okosbármi. - HF)
  • Mi motiválta ezt a legutóbbi erőfitogtatást?
    • Ez a jó ügy érdekében van... Oroszország nagyjából azt mondja, hogy jobbak, mint az Egyesült Államok abban, hogy mindent meghackeljenek, hogy ezzel háborút kezdeményezzenek. Majd mi mutatunk nekik háborút.
  • Úgy érzitek, hogy az emberek alábecsülenk titeket?
    • Úgy érezzük, hogy mindenki alábecsül minket és kétségbe vonják a képességeinket, amíg nem látják azt a saját szemükkel.
  • Nem aggódtok az óriási figyelem miatt, amit ez hozott?
    • Persze, hogy aggódunk, nem akarunk szövetségi ügynököket a seggünkben. Ezért vagyunk Oroszországban...
  • Mit gondoltok, hogy fog reagálni Oroszország egy ilyen nagyságrendű támadás láttán?
    • Oroszországnak válaszolnia kell, de basszák meg. Azt üzenjük a világnak, hogy folyamatosan képezzétek magatokat.
  • Hogy mit üzentek a világnak?
    • Folyamatosan képezzétek magatokat.

 nwh.jpg

 

(Az interjú az AnonIntelGroup.com-on jelent meg.)

A bejegyzés trackback címe:

https://hackerfeleseg.hu/api/trackback/id/tr211828441

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

énisfélek 2016.10.26. 14:46:45

Nem csak az IoT termékek biztonsága nevetséges, de (szinte) minden router, webkamera, stb szintén meggyanúsítható biztonsági résekkel. A mobiltelefonoknak meg kb 90 százaléka úgy ahogy van röhejes biztonsági szempontból. Tehát ha valaki össze akar hozni egy nagy erejű (= rettentő sok pici számítógépből álló) botnet-et, annak nem kell túlságosan megerőltetnie magát.
Óriási szükség lenne "paramoiás" informatikusokból álló kutató csoport(ok)ra, akik már a fejlesztés ideje alatt, vagy akár utólag rámutatnának a jelenlegi és jövőbeni potenciális hibaforrásokra, csakhogy az IoT termékek gyártói nem költenek olyasmire, ami nem növeli közvetlenül a nyereséget, az állam meg .azt sem tudja, hogy mi az az internet, úgyhogy a fogyasztóvédelem soha nem fog ilyesmivel foglalkozni.

A feleség hackere · http://hackerfeleseg.hu 2016.10.26. 15:32:36

@énisfélek: ha az emberek minimalisan is kepben lennenek, akkor megertenek azt, amit te mar megertettel. De sajnos a tobbseg ugy van vele, hogy a facebook bejott, nem is olyan nagy problema ez.
Teszteltem embedded device-okat tobb mint egy evig egy cegnel ami pont jo pelda lehetne, mert mielott kiadjak az eszkozoket, letesztelik. Itt most lehetne cegen beluli erdekutkozesekrol, anyagi kerdesekrol tovabb beszelni, de nem erdemes, mert mar igy is sokat tesznek azert, hogy jobb legyen. De ez sokba kerul es emiatt senki sem fog tobbet fizetni az eszkozert, mert _senkit_ sem erdekel, hogy biztonsagos-e. Ezert a cegeken nincs nyomas. Hat ez van.
A fentiek miatt ha a cegek ingyen kapjak az informaciot, akkor sem hasznaljak, mert az is eroforrasigenyes es nincs motivacio (tapasztalat)
De nagyon fontos kerdeseket feszegetsz, kar hogy nem ismertek ezek a problemak szelesebb korben.

Egyebkent a botnet epiteshez eleg egy email kampany hihetetlenfogyas.exe, jason-statham-meztelenul.exe es nyertelszazmilliardforintot.exe mellekletekkel es garantaltan a cimzettek jelentos resze beall a botnetedbe :) A gyogyszerazemberihulyesegre.exe csatolmany sajnos nem lenne ilyen hatekony.

énisfélek 2016.10.26. 18:07:55

Én úgy látom, hogy az a legnagyobb probléma, hogy a döntéshozók nem szakmabeliek, vagy ha azok, akkor igen alacsony az IQ-juk.
Egyrészt az embereket nagyon könnyű a biztonság alapjaira megtanítani, csak a megfelelő módszert kell kiválasztani, másrészt pedig ha minden informatikusba belevernék az informatikai biztonságtechnika alapelveit, akkor nem lenne olyan informatikus, aki ne sikoltana fel pl amikor egy androidos fénykép-kezelő alkalmazás a telefonkönyvhöz is hozzáférési jogosultságot kér. De mivel még az informatikusokat sem tanítják meg még az alapokra sem, ezért oda sem figyelnek az ilyesmire. Tisztelet az elenyésző kivételnek, akik viszont inkább csendben vannak, mert kiröhögik őket még saját kollégáik is.
Vannak persze hivatásos, képzett biztonságiak, akik egyrészt rohadt sokba kerülnek a cégeknek, másrészt a (laikus? IQlight?) főnökök úgy gondolják, hogy ha a szerver jelszót kér, akkor az már biztonságos :) tehát felesleges ennél tovább foglalkozni ezzel a dologgal.
Az a baj, hogy még hozzáértők is azt hiszik, hogy egy informatikai rendszert csak szuperképességekel rendelkező hacker-ek segítségével lehet biztonságossá tenni, ami nevetséges. Képzeld azt, hogy pl csak az szerelhetne riasztót, aki bármilyen zárat kinyit egy dróttal. Ugye milyen nevetséges? Pedig pont ez folyik ma az informatikában: csak arról az emberről hiszik el hiszik el, hogy biztonságossá képes tenni egy rendszert, aki képes lenne betörni is oda. Ebből is látszik, hogy a döntéshozóknak fogalmuk sincs erről a területről.
Valaki egyszer megkérdezett egy indiait, hogy az ott élő rengeteg kígyófaj közül az egyszerű falusi emberek hogyan különböztetik meg a mérgest a veszélytelentől. A válasz: egyszerűen minden kígyót úgy kezelünk, mintha mérge lenne. Az informatikai biztonság alapjai is pontosan ilyen marha egyszerűek, csak valami miatt a nagyeszű döntéshozók azt hiszik, hogy a gyerekeinket kizárólag képzett herpetológusok tudják megvédeni a kígyóktól. Ilyen szakember persze, nagyon ritka, ezért széttárják a kezüket, hogy nincs mit tenni, sajnos kevés a profi herpetológus, ezért sajnos akadálytalanul pusztítanak a kígyók.

Tehát háromszintű védelem kell:
- az átlag júzert megtanítani az alapokra
- minden informatikus tananyagába bele kell venni az "alapfokú gyanakvás" alapelveit
- legyen "paranioiás informatikus" tanfolyam (pl.kiegészítő modul)
...és ezek után az a kevés igazán profi fehérkalapos hacker végre felszabadul és rá tud koncentrálni az igazán komoly problémákra.

Untermensch4 2016.11.11. 17:25:10

@énisfélek: Most nagyon megörvendeztem neked. Mint átlag alatti júzer, teljesen magamtól van az a paranoiám hogy ha egy app olyan hozzáférést akar ami a tevékenységét tekintve indokolatlan akkor az ellenség és nem kell.
Ezt az örömömet azért kívántam megosztani mert az "az embereket nagyon könnyű a biztonság alapjaira megtanítani, csak a megfelelő módszert kell kiválasztani" állításodat illusztrálja. A átlag alatti júzert komolyan mondtam, az informatikai átlagnál bénább vagyok, sokkal.

Untermensch4 2016.11.13. 09:59:50

@énisfélek: "alapfokú gyanakvás" :) Még szerény képességeimmel is 5 perc guglizás volt kinézegetni hogy nem levelezőpartnert találtam hanem "nigériai levél". Most tanácsot szeretnék kérni mert gondolkodtam a dolog további kifutásán.
Egyrészt menőzve hőböröghetnék hogy "rájöttem ám a trükkre baromarc, bénák vagytok" de akkor esetleg fejlesztenének a fedősztorin, így most a hozzám hasonló bénábbaknak is jobbak az esélyei hogy sikeresen gyanakodjanak. Azt nem tudom hogy érdemes-e bevonni az informatikailag bizonyára tetterős és hatékony rendőri szerveket, nem szeretek adminisztrációval bajlódni ha nem muszáj. Leglustább megoldásnak azt gondoltam ki hogy egyszerűen nem levelezek tovább az illetővel (már ha egyáltalán van humán elem a rendszerben és nem automatikusan küldi a soron következő fokozatú beetetőlevelet egy program).

énisfélek 2016.11.13. 10:51:44

Első osztály, első óra anyaga: "Minden kígyó mérges."
Aki lusta ennél tovább tanulni, az már mindössze ennyi tudással is haláláig fel van vértezve az összes internetes csalás ellen. A mondás értelme: mindenkit automatikusan tekints csalónak, aki pénzt kér tőled.
Aki mégis szeretne kígyókat fogdosni, az vagy járja végig az iskolát, vagy törődjön bele, hogy egészen biztosan kisebb-nagyobb harapásokban lesz része, sőt, akár bele is halhat.

Untermensch4 2016.11.13. 16:17:39

@énisfélek: Mármint mindenki csaló aki pénzt és/vagy információt kér tőled.