nbusr123 aneb IT negramotnost státu

otevírám novou rubriku „postřehy“ a začnu hned pěkně zvesela 

Minulý duben se na slovensku stala zajímavá věc, skupina hackeru se bez potíží dostala do vnitřní sítě slovenského bezpečnostního úřadu, několik týdnů brouzdali systémem, nakopírovali si maily, dokumety a jiná data… Po nějaké době, zveřejnili na internetu některá z těchto dat a kčinu se přiznali. Některé pikantní maily typu „však víš, my se na tom našem úřadě nepřetrhnem… se staly celostátně známými. Navíc zveřejnili hackeři i heslo pomocí kterého se do systému dostali. Bylo to nbusr123 (nbu =národní bezpečnostní úřad, sr= slovenské republiky, 123 = no comment) tak tomu říkám opravdu "neprolomitelné heslo“… po nějaké době jakéhosi pavyšetřování zabavila policie známý server hysteria.sk – prý na něm mohou být informace o útoku. Namísto ukázky precizní policeiní práce, jsme se dočkali pikantního zostudění státní moci, druhý den hackeři oznámili dvěma novinářům během schůzky u dunaje, že právě odpojili NBÚ SK od internetu na protest proti zabaveni hysterie.sk. Ano, je to tak, nikoho na nbú sk nenapadlo změnit heslo poté, co se to stávající už měsíc pravidelně objevuje v novinách, televizi a na internetu… to ale ještě není konec. Po celém jednom roce policeiního vyšetřování obvinila policie dva mladíky, stále ale nemá důkazy, navíc policie zabavila při razii 10 serverů soukromé firmy websupport.sk která zajišťovala hostingové služby stránkám blackhole.sk, ty mají podobné zaměření jako hysteria.sk. Policisté si asi mysleli, že na serverech najdou nějaké důkazy, ale ejhle, hučí to jako server, bliká to jako server, vede z toho spousta kabelů, tak to zabavíme. Nevím jaké důkazy chtěli policisté získat z jednoho ze switchů firmy (switch je zařízení které mužeme brat jako jakýsi uzel v síti kde se několik různých linek setkává) navíc server na kterém beží blackhole.sk nechali být a vůbec si ho nevšimli. Tím policie vyřadila 3500 internetových domén (3% slovenského internetu) včetně e-shopů, hmm kdo asi zaplatí ušlé zisky???? Zdá se vám, že neschopnost, tupost a jakási retardovanost celého státního aparátu dosáhla absolutního maxima? inu ještě třešnička na dortu, když jistý úředník listoval spisem, vypadla z něj fotka osoby v trenkách, jeden z hackerů v ní s překvapením poznal sebe u svých domovních dveří a vzpoměl si, jak ho před časem navštívil podomní obchodník, který byl asi policajtem a potřeboval jeho fotku, google asi policie taky nezná.

Postřehnuto v časopisu Reflex 6/2007 číslo 29 článek: Agent „Raz dva tři“

Bumping – 2. část

Tak jsem zpět, tři dny uběhly jako voda a já pevně věřím, že jste si už vybrousili vlastní bumpkey podle návodu v prvním díle Pokud ne, doporučuji tak učinit ještě dřív než si přečtete tento druhý díl, jinak by jste mohli být příliš nedočkaví a bumpkey udělat špatně Dnes si totiž povíme jak bumpkey použít v praxi a věřte mi, že vám polezou oči z důlků, zjistíte, že celý váš dům a byt jsou doslova veřejným prostranstvím, stačí mít po ruce bumpkey a všechny běžné cylindrické, tedy FAB, zámky (těch je u nás tak 90%) vám nebudou překážkou.

Bumping – 1.část

Takže co je to bumping(označovaný též jako tzv. „sg metoda“), jedná se o nenásilnou metodu otevření zámku, bez jeho poškození. Tato metoda vychází ze základních zákonů dynamiky. Předem bych rád upozornil, že tento článek slouží pouze ke studijním účelům a, že autor neručí za jakékoliv škody nebo prohřešky způsobené nezákonným využitím článku.

Teď už ale k samotnému bumpingu, jeho princip si vysvětlíme na jednoduchém příkladu.

Představte si jak hrajete biliár, co se stane když postavíte tři koule za sebou a do té první střelíte bílou kouli? Jak všichni víme odletí až ta poslední a všechny ostatní zůstanou více méně stát na místě. Na stejném principu funguje metoda bumping.

Google Hacking, část 3

Po delší době se vracíme ke strýčku „G“ a jeho nezbedným dovednostem. A nebyli bychom lidé, pokud bysme nebyli zvídaví zkusit co všechno nezbeda Google dokáže. V minulích dílech jsme se naučili:

• Význam a sintaxi operátorů.
• Vyhledání složky s konkrétním typem souborů či názvem.
• Vyhledání interních dokumentů, tajných ekonomických plánů nadnárodních korporací nebo plánů na zatím neuveřejněné přístroje.
• Vyhledání a připojeníse ke konkrétním typům zařízení (tiskárny, kopírky scannery) přez jejich webové rozhraní.
• Připojení se k nechráníným web-kamerám

Dnes si předvedeme jak:

1. Vyhledávat čísla kreditních karet
2. vyhledávat systémy o kterých je známo, že je lze snadno napadnout

Google Hacking: část 2.

Jsem zpět a další článek o google hackingu se mnou, dnes si ukážeme několik zajímavých triků:

• Ukážeme si jak vyhledávat interní dokumenty, a jak se připojit k síťovým zařízením jako jsou tiskárny, kopírky, skenery a web kamery, a získat z nich uchovaná data.

  ---

Google Hacking, část 1.

Co si můžeme představit pod pojmem Google Hacking??? Je to jednoduše využití googlu k věcem ke kterým primárně není určen. Robot googlu prolézá internet a denně zaindexuje na server tisíce, ba staticíce dokumentů včetně jejich záloh, tyto dokumenty jsou obvykle webové stránky, avšak co se stane pokud google najde na internetu něco co není určeno veřejnosti? Indexuje to též, nerozeznává co je nebo není určeno veřejnosti, zapíše si vše na co narazí, a právě toho můžeme využít.

Antiviry a podobní bodyguardi

Jaro máme na krku, všechno pučí (slunce svítí, smrdí kvítí, ptáci řvou). Kromě všech krás ale k jaru patří i dost neveselá skutečnost, tou je, že na jaře se nejvíce aktivizují hackeři a jiná kybernetická smetánka, takže naše drahé, křemíkem nahuštěné, stroje jsou v ohrožení více než kdy jindy.