Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

Exkluzív interjú a hackerrel

2017. február 24. - hackerfeleség

Pár napja volt hír, hogy feltörték egy pizzéria weboldalát.

Ma megkeresett az oldalt feltörő hacker, H4x0r.
Természetesen ennél többet nem árult el magáról, tehát az álnéven és a sztorira vonatkozó alább közölt részleteken kívül én sem tudok róla többet.

A levélben leírta, hogy a hírekkel ellentétben nem árulja az adatokat. Nem a ✿✿✿✿✿ Pizzéria volt a célpont, hanem az oldalt üzemeltető szerver. Nem a Pizzéria oldalán keresztül jutott be a szerverre, hanem egy másikon (a sok közül). Az, hogy pont ezeket az adatokat hozta nyilvánosságra, csupán a véletlen műve, választhatott volna más oldalt is a szerverről, például egy majd 25.000 regisztrált felhasználóval rendelkező ingatlanos oldalt.

Fontosnak tartotta kiemleni, hogy a ✿ Pizzéria nem tehet az egészről, ők ebben nem hibásak, viszont a szerver üzemeltetője annál inkább.

Elmesélte, hogy maga a szerver katasztrofális állapotban van, nem foglalkoznak vele. Jól mutatja ezt, hogy 2016. november 13-án, ismeretlen, vélhetően török hackerek bejutottak szintén erre a szerverre, deface-elték az itt hostolt weblapokat és szinte biztos, hogy lementették a teljes mysql adatbázist is.

Ennek ellenére a szerver üzemeltetője nem tette meg a megfelelő intézkedéseket, még csak a jelszavakat sem változtatták meg, illetve nem tettek az ügyben rendőrségi feljelentést sem. Mindezt abból tudja, hogy legalább 1 éve hozzáférése van a szerver teljes tartalmához.
Beszélt a szervert üzemeltető cég ügyvezetőjével, elmesélte, hogy megtudta tőle, hogy a tavaly novemberi támadás után nem ők, hanem az egyik ügyfelük, egy önkormányzat tette meg a feljelentést a rendőrségen. Az ügyvezető azt is elmesélte H4x0r-nek, hogy a mostani támadást is a pizzéria jelentette be a rendőrségen és megjegyezte, hogy ő (HF: az ügyvezető) megint csak szív vele, mert járhat tanúskodni.

A hosting cég ügyvezetője levélben elmesélte neki a sztorit, miszerint állítólag jó tíz évvel ezelőtt a még létező MALÉV úgy vett fel egy IT szakembert, hogy az az előtérből bejelentkezett az igazgató gépére. Megjegyezte, hogy sajnos annyit nem tudna fizetni, mint egy légitársaság, de munkát kínált a hackernek

 

Természetesen ezek után akartunk beszélni H4x0r-rel. :)

 exclusive.png

Miért lettel hacker?

Sok mindent nem tudok, és nem is akarok megosztani magamról. Egy átlagos userként kezdtem, mint mindenki. Elkezdett érdekelni a számítástechnika. Amíg a többi diák azzal szenvedett számtech órán, hogy visszategyék a java-t a gépre, amit a tanár mindig leszedett, hogy fel tudjanak menni a chat.hu-ra, addig én az irc-n lógtam, beszélgettem a többi emberkével. Aztán eljött az az idő is amikor már nem csak a technikai része érdekelt, hanem a software, a háttér, mi, hogyan, miért működik. Ahogy egyre jobban belemerültem, óhatatlanul is felmerült bennem, mi lenne, ha…. Ekkor kezdtem el kicsit komolyabban a hackeléssel foglalkozni. Nem tudom ki mivel kezdte anno, de én a wifi-vel. Viszonylag könnyű dolgom volt, nem volt annyira elterjedt a wpa, inkább mindenki wep-et használt, vagy semmit. De ez csak a jéghegy csúcsa volt. Amint sikerült wifi téren arra a szintre fejlődnöm, hogy szinte csukott szemmel is felnyomtam egy hálózatot, elkezdtem gondolkozni azon, hogy mit is lehetne még csinálni. Olvasgattam, videókat néztem, tanultam mit hogyan lehet csinálni, majd elkezdtem a feltört wifiken gépeket keresni, és megpróbáltam bejutni azokra, illetve lehallgattam a hálózati forgalmat. Ekkor még szintén nem volt elterjedt a https, így itt sem volt nehéz dolgom.  Aztán jöttek a webes tartalmak és szolgáltatások. Hajtott a kíváncsiság. Jelenleg webes dolgokkal foglalkozok.

Hogyan lehetséges, hogy nem találnak meg a hatóságok?

Az, hogy a hatóságok nem tudnak megfogni, több dolognak is köszönhető. Tor-t és vpn-t használok, ami eléggé megnehezíti a dolgukat. Persze ezek használata nem jelenti azt, hogy ne tudnának elkapni, ésszel kell csinálni, odafigyelni, mikor mit és hogyan csinálsz. De ha meg is találnának, valószínűleg csak közvetett bizonyítékuk lenne, a gépembe pedig nem tudnak belenézni, minden titkosítva van 100+ karakteres jelszóval.

Te is kapucniban dolgozol 13 monitor előtt, és neked is mátrixos a háttered? Tudod, TV-ben láttam, hogy a profik igy csinálják. ;)

Nem, nem kapucniban dolgozom, és nem is mátrixos a háttérképem. :) Nincs előttem 13 monitor sem, általában csak a notim van, de van egy külső monitorom is. Nincs többre szükségem, a macos gui-ja teljesen megfelel, bár ezt szerintem nem kell magyaráznom, mivel te is azt használsz.

Egyedül, vagy csapatban dolgozol/dolgoztok?

Egyedül dolgozom :) így minimalizálom a lebukás kockázatát.

Nem érzed etikátlannak, amit csinalsz?

Az, hogy mi etikátlan, csupán nézőpont kérdése. Lehet etikátlan egy rosszul megírt oldalt, vagy egy rossz szolgáltatást eladni jó pénzért, de persze az is lehet etikátlan, amit csinálok, hiszen az "ártatlan" user adatait tettem ki a netre. Azért idézőjelben, mert a felhasználó is tehet valamilyen szinten arról, hogy könnyen hackelhető. Gyenge jelszavakat használ, könnyen kitalálható jelszavakat használ, ugyanazt a jelszót használja máshol is, ha nem mindenhol. Nem elég körültekintő, hiányzik a biztonságtudatosság ezen a téren.

Miért nem állítják be biztonságosan ezeket a rendszereket?

Miért nem állítják be ezeket a rendszereket biztonságosan? Itt is több variáció lehetséges véleményem szerint.

1, Ide úgyse akar majd betörni senki

2, Szerintem ez így biztonságos lesz, jelszavak hashelve (MD5 :D)

3, Nem ért hozzá

4, Nem akar vele foglalkozni/nincs keret a nagyobb munkára, a későbbi tesztelésre

Sok szervert feltörtel már?

Elég sok oldalhoz, serverhez van hozzáférésem, ezeknek a 99% észre sem veszi, hogy más is van ott rajtuk kívül.

"Érdekelne a barátnőm levelezése. Ha fizetek neked, feltöröd?" - Ha kapsz ilyen jellegű megkeresést, mi a válasz?

Kaptam már nem egy ilyen megkeresést, de el szoktam küldeni őket, hiszen, ha nem bízik a csajban akkor minek van vele. Nem a pénz motivál, ha így lenne, akkor a pénzügyi szektort vettem/venném célba.

Nézzük akkor, hogy mi a helyzet a pizzériával. Mi motivalt abban, hogy feltörd az oldalt/szervert?

A ✿✿✿✿  servere (HF: amin a feltört pizzéria weboldala is fut) már nagyon régóta megvan, legalább 1 éve, ha nem több. Az egyik oldalukon jutottam be, de a db dump-on (HF: = a szerveren lévő adatbázis lementése) kívül nem csináltam semmit. Aztán jött a novemberi deface a törökök részéről, és kíváncsiságból ránéztem, azt hittem, ha nem is mindent de javítanak, és legalább a jelszavakat lecserélik, de nem így történt. Ezek után fölöslegesnek ítéltem meg a megkeresésüket, mert úgysem csinálnának semmi érdemlegeset. Előtte pedig szándékosan nem jeleztem a hibát. Az információ sokat érhet, például, ha keresek valakit és mondjuk valamelyik oldalon regisztrálva van, könnyen hozzáférek az adataihoz. Ez a többi oldalnál/servernél is így van, tudom, ez sem etikus mások szerint.

Csináltam egy utolsó mentés a db-ről (HF: =adatbázis), majd úgy döntöttem ideje rendet rakni, ha máshogy nem megy, akkor majd így. Ezért hoztam nyilvánosságra az adatok egy részét, és értesítettem erről a médiát is (több-kevesebb sikerrel). Egyedül az  csapott le rá az omegától, se az index, se az origó, se a 24.hu. Szándékosan csak a users táblát tettem ki a netre, amiben név, usernév, email, jelszó van, illetve a feltört hash-eket. Nem plain jelszavak vannak a táblában, hanem joomla hash (Joomla < 2.5.18), 6700-6800 user, és 3230 hash:jelszó párost.

Akkor te most valójában egy Köpenyes Igazságosztó vagy? Lesznek még ilyen akciók?

Nem nevezném magam igazságosztónak, egyszerűen csak betelt a pohár.

Lehet, hogy lesznek még ilyen akcióim, nem tartom kizártnak, de nem is mondom biztosra.

Magát a hibát nem tudom, hogy kijavították-e, ezt nem ellenőriztem azóta, viszont a serverre azóta is szabad bejárásom van, mind a phpmyadmin-ba, mind pedig az ftp-re.

Hogyan lehetne elkerülni a jövőben az ilyen támadásokat?

Az, hogy hogyan lehetne ezeket elkerülni....... az elég sok mindentől függ. Oda kell figyelni, rendesen megírni az adott oldalt, időt kell szánni a server konfigurációjára, biztonságtudatosságra nevelni ill. oktatni a usereket.

Mit tanácsolnál az ügyfeleknek? Azoknak, akik hosting szolgáltatást vesznek igénybe?

Tanácsolni sok mindent lehet, de az emberek 99% úgysem fog vele törődni. Mindenképpen nézzenek utána a hosting cégeknek, olyat válasszanak, aki régóta a piacon van, aki ténylegesen odafigyel a biztonságra, nem csak a csilivili oldalán feszít, hogy secure, tehát megbízható. Keressenek véleményeket az adott cégről. Az oldalaikat auditálják, szánják rá az időt és pénzt, mert egy ilyen betörés során sokkal nagyobb kár is érheti őket. Válasszanak erős, nehezen, vagy nem kitalálható jelszavakat, jelmondatokat. Minden oldalon más jelszó használata lenne az ideális, de ezt nagyon kevesen teszik csak meg.

 

A bejegyzés trackback címe:

https://hackerfeleseg.hu/api/trackback/id/tr1512287197

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

$pi$ 2017.02.24. 20:24:18

"Az, hogy mi etikátlan, csupán nézőpont kérdése."

Nem, nem az. Egy mocskos bűnöző vagy öregem, aki megpróbálja megmagyarázni, hogy amit csinált az nem is erkölcstelen. Minden bűnöző ezt nyomja, a tolvajok, a nemi erőszakot elkövetők, a gyilkosok is. Mentegetik magukat, megpróbálják olyan színben feltüntetni a dolgokat, mintha nem ők lennének a bűnösök, hanem valaki más. Bárki más, csak nem ők.

A feleség hackere · http://hackerfeleseg.hu 2017.02.24. 21:08:47

Szerintem O oda akart kilyukadni hogy nem csak az erkolcstelen amit o csinal, hanem az is amit a szerver uzemelrtetoje, a webfejleszto, a weboldal uzemeltetoje stb. Az is erkolcstelen, de az atlag user erre nem gondol, es igy a tobbi etikatlan resztvevore senki nem nyomja ra a belyeget, csak szegeny szenvedo alanyok. PEdig ez nem igaz. Nem vedeni akarom H4x0r-t, hiszen en sem veletlenul vagyok _Etikus_ Hacker es nem veletlenul tettuk fel ezt a kerdest. Csak azert mondom, mert a lenyeg felett nem szabad elsiklani.

Nazareus 2017.02.24. 21:57:40

Annak idején egy ismerösöm azt mondta, hogy "milyen abszurd már, hogy egy fémdarabbal (lakáskulccsal) kell igazolnom, hogy jogosult vagyok annak a lakásnak a használatára. Elvégre egy normális világban senki nem menne be, akkor se ha nem lenne bezárva, nem kellene az autókat sem zárni, stb."

Egyrészt igaza van, de hát nem olyan világban élünk. Namármost, ha én nem zárom be az ajtómat rendszeresen, akkor várható, hogy ki fognak rabolni. Etikus-e, ha valaki észreveszi, látja, hogy már voltam figyelmeztetve emiatt, de hiába és egyszer bejön a lakásomba, majd odapiszkit a szönyegre, ám más kárt nem tesz ?

Egyrészt nem, mert engedély nélkül bement más tulajdonába.
Másrészt igen, mert felhivta a tulajdonos figyelmét, hogy óvatosabb legyen, mert nagyobb kár is érhette volna.

beebite 2017.02.24. 23:00:05

Engem tényleg érdekel, hogy kell ezt ügyesen csinálni: van kb 20-30 oldal (e-mailek, bankok, rólam jelentősebb adatokat tároló oldalak stb, ahova jelszómenedzseres komoly jelszavam van. De manapság annyi helyre kell jelszó, a pizzériától kezdve a a túró kis webshopig, ahonnan egy 500 ft-os vackot rendelek, hogy képtelenség és feleslegesnek is tűnik mindet saját erős jelszóva menedzselni. Vagy kéne? Mert ha van egy puhány user/pass párosom ilyen puhány helyekre, akkor kb adtunk egy pofont a sz.rnak nem? :-) Hogy kéne ezt úgy csinálni, hogy a hétköznapi életben is használható legyen..?:)

Nazareus 2017.02.25. 00:06:24

@beebite: Én úgy csinálom, ahogy Te. A fontosabb helyekre erös jelszavam van, a puhány helyekre, mint a pizzéria meg gyenge. Ez miért baj ? Persze baj lenne akkor, ha a pizzériánál le lenne adva bankkártyaszámom, de nincs.

$pi$ 2017.02.25. 07:34:59

@A feleség hackere: "nem csak az erkolcstelen amit o csinal"

Miért kellene egy bűnözőre bízni annak a megítélését, hogy mi az erkölcsös és mi az erkölcstelen? Beszéljen nyugodtan a saját bűnéről, arról, hogy ő mit tett, hogy ő milyen bűnöket követett el mások ellen. Azt a jogát, hogy mások bűneit ostorozza elveszítette abban a pillanatban, amikor megszegte a törvényt.

A feleség hackere · http://hackerfeleseg.hu 2017.02.25. 07:55:00

@beebite: @Nazareus: Erre ket valaszom van:
Egyreszt nem tunik rossz strategianak ha priorizaltok es kevesbe fontos helyekre gyengebb vagy ugyanazt a jelszot adjatok meg, fontos helyekre meg mindenhova kulonbozo eros jelszot. De en azt tapasztaltam hogy ahol megmarad az emberi hiba eselye, ott 100% hogy meg is lesz, szoval tuti, hogy lustasagbol, sietseg miatt, barmi mas okbol lesz olyan hogy fontos helyre rossz jelszo kerul. Nem dol ossze a vilag, csak fontos tisztaban lenni ezzel. Szoval lehet hogy egyszer emiatt bebuktok egy fontos accountot. Raadasul nincs eleg informaciod ahoz hogy eldontsd mi fontos es mi nem. Honnan tudod hogy egy tamadonak mi fontos? Szerintem nincs olyan, hogy kevesbe fontos hely. Pl ha bejutnak a netpincerembe, ahol gyenge a jelszo, csomo midnent megtudnak rolam. Rogzitve van vagy 15 szallitasi cim, latszik miket szoktam rendelni, milyen gyakran, hova stb. Higgyetek el nekem, az emberek lebecsulik az informacio erteket. Ha bejutnak par webshopba, a netpincerbe, 1-2 jelentektelen helyre, siman gyujtenek rolam annyi infot, hogy egy social eng. tamadassal meg engem is beszopatnak, mert annyira pontosan tudnak celozni. PErsze ez nem merheto ossze egy paypallal, vagy ugyfelkapuval. Szoval szamomra nincs olyna hogy kevesbe fontos regisztracio. Illetve olyan van hogy total kamu adatokkal rendelek webaruhazbol (webox, foxpost stb szallitassal), igy ezek az arohazak tenyleg nem olyan fontosak :)

Masreszt pedig szamomra mindennel kenyelmesebb a password safe hasznalata. Pl a keeper beepul a bongeszobe, vagy windowson a keepass begepeli helyetted a jelszot, szoval nem nehez a kezelese. Igy a kevesbe fontos helyekre is nagyon eros es ami fontosabb, egyedi jelszot adok meg, viszont nem kell megjegyeznem semmit es tutira nem csuszik hiba a gepezetbe.
Persze a jelszosafe-nel is oda kell figyelni hogy mindig legyen belole mentes, hogy nehogy elfelejtsd a master jelszot stb, de en pl tobb helyen, tobb eszkozon is szinkronizalom (igy pl telefonon is eg tudom nezni a jelszavaimat).
Nem tudom egyertelmuen azt mondani hogy egyik jobb mint a masik, de az informatikai problemak 100%-a emberi hiba, szoval en magamtol is megvedve magam inkabb a password safe-et hasznalom :)

Masrest meg ha megnyomjak a szervert, vagy az alkalmazast, akkor az informacio mindenkepp rossz kezekbe kerul, de ez ellen meg mar nem nagyon tudsz tenni.

Na ezt jol korbejatam.

A feleség hackere · http://hackerfeleseg.hu 2017.02.25. 07:59:49

@$pi$: Nem biztam ra ennek megiteleset, de ettol meg van velemenye, mint ahogy neked is.. De ha nem probalnam megerteni mit gondol egy rossz szandeku hacker, akkor elegge szar etikus hacker lennek. De a lenyeg nem ez. a blog azert van hogy szamotokra fontos informaciot kozoljon. Szamodra sokkal fontosabb az, hogy a szervered uzemeltetoje, a weboldalad keszitoje sem etikus. Csak annak tunik. De ok tehetnek arrol hogy a masik 100 hacker elvitte az adataidat, ez az egy pedig szolt is miatta. Tok mindegy ki irta ezt le, ezzel foglalkozni kell. Szerintem nem szabad elzarkozni a rossz emberek velemenyetol sem. Szamomra ugyanolyan erdekes, hogy mit gondolt hitler, mint hogy mit gondol a pa'pa. Ezek csak velemenyek, eldontheted mhez kezdesz vele.
Ennek a gondolkodasmodnak a vege nem az, hogy haxor etikus lesz, hanem az, hogy az adataid nagyobb biztonsagban lesznek. Ez a lenyeg. Az itelkezest meg meghagyom masoknak.

$pi$ 2017.02.25. 11:10:10

@A feleség hackere: "Nem biztam ra ennek megiteleset, de ettol meg van velemenye, mint ahogy neked is.. De ha nem probalnam megerteni mit gondol egy rossz szandeku hacker, akkor elegge szar etikus hacker lennek."

Ja, etikus hacker meg becsületes tolvaj, meg törvénytisztelő gyilkos. Na jó, hagyjuk ezt a butaságot!

A feleség hackere · http://hackerfeleseg.hu 2017.02.25. 14:00:36

@$pi$: te nem nagyon tudod hogy mit beszelsz. Gondolom minden nyomozo is bunozo igaz? En azert vagyok hogy Hax0r ne jusson be bizonyos rendszerekbe. Ez a munkam. Kepzeld el van ilyen munkakor. Nevezhetsz IT biztonsagi tanacsadonak is csak az nem fedi teljesen a valosagot. Az, hogy lebunozozol kifejezetten ostoba es serto dolog.
Ha tudnad hogy mket latok munkam soran es milyen informaciokkal NEM elek vissza, megdobbennel, hogy mennyire etikus, erkolcsos, szabalykoveto vagyok.
Szoval gondolkozz mielott esz nelkul itelkezel.

$pi$ 2017.02.25. 16:13:37

@A feleség hackere: "Gondolom minden nyomozo is bunozo igaz?"

jó példa, erre akartam utalni: a nyomozó nem "etikus gyilkos", nem is "etikus betörő". Ezzel az "etikus hacker" dumával csak hülyítitiek a laikusokat, próbáltok úgy csinálni, mintha hackerek lennétek, de erkölcsösek, azaz lehetséges lenne hackernek lenni erkölcsösen. A hacker nem etikus, az "etikus hacker" meg nem hacker. A tűzoltó amikor rádrugja az ajtót nem "ertikus betörő", hanem tűzoltó, nem betör, hanem berúgja az ajtót.

Ez az etikus hacker amolyan elkeseredett önfényezés lehet szerintem, nyilván más értelme nincs mint valamiféle hamis színben feltüntetni az egészet. Pont ugyanaz mint amikor az igazi hacker elmondja, hogy nem is ő az igazi bűnöző, mert ő nem kapott érte pénzt csak fel akarta hívni a figyelmet arra, hogy...

Ismertem egyszer egy embert aki a teszkóba járt lopni. Azt magyarázta, hogy ez valamiféle szabadságharcos ellenállás tőle, mert a teszkó az kisemmizi a szegényembert, ő meg csak igazságot tesz. Elmondtam neki, hogy egy közönséges bűnöző és ha a velem van ne próbáljon meg lopni mert eltöröm a kezét.

$pi$ 2017.02.25. 16:44:22

@A feleség hackere: "szornyen ostoba vagy. "

Csavaros egy érvelés az egyszer biztos.

A feleség hackere · http://hackerfeleseg.hu 2017.02.25. 17:04:25

@$pi$: latom ezt sem erted. Ez nem egy erv volt.. Csak elmondtam a velemenyem. Ahogy te is.
Korabban minden mast is leirtam ami relevans. Erdemes lenne olvasnod egy kicsit a temaban, mert lathatoan nem tudod mit csinal egy etikus hacker. Segitek: hu.wikipedia.org/wiki/Hacker
Sot mondok erdekesebbet is. A BME-n van etikus hacker kepzes. Tehat a BME bunozoket kepez ugye?
www.aut.bme.hu/Pages/Research/EthicalHacking

Egyebkent ha mar vitazunk. Azt modntad: "ha a velem van ne próbáljon meg lopni mert eltöröm a kezét."
Szerinted ez etikus? Szerinted az onbiraskodas nem bun? Latod te is csak egy bunozo vagy.

$pi$ 2017.02.25. 17:40:20

@A feleség hackere: "latom ezt sem erted. Ez nem egy erv volt.. "

LÁtom az iróniát is érted. :D

"mert lathatoan nem tudod mit csinal egy etikus hacker"

Valószínűleg már akkor tudtam, amikor te még oviba jártál. De ez persze mellékes. Magyar nyelvű wikipédiát ajánlgatni viszont gáz.

"Sot mondok erdekesebbet is. A BME-n van etikus hacker kepzes. Tehat a BME bunozoket kepez ugye?"

Nem, csak egyszerűen nem értetted amit írtam. Nem írom le mégegyszer, próbáld megérteni. Olvasd el többször is. De talán annyit, hogy a BME-re hivatkozni megint ciki. Szánalmas... ha a boszorkányságért fizetnének, akkor a BME boszorkányokat képezne.

"Szerinted ez etikus? Szerinted az onbiraskodas nem bun?"

Nem öregem, ez egy kifejezés. Megint sikerült nem megértened az iróniát.

A feleség hackere · http://hackerfeleseg.hu 2017.02.25. 20:30:19

Ezt most nem pi-nek szanom, de az tok vicces hogy midnenki tudni veli mennyi idos vagyok. Es mindenki kurvamessze jar tole :) En nem az a 20 eves feltorekvo hacker vagyok, csak mondom.kozelebb vagyok az 50-hez mint a 20-hoz. Az en ovodas koromban meg elegge kevesen tudtak mi az a hacker :)))