Hur Anonymous hackade HBGary
Som bekant är jag en sucker för berättelser från verkligheten. Ars Technica har en artikel som utförligt beskriver hur "hackergruppen" Anonymous angrep HBGary, HBGary Federal och Rootkit.com. Bakgrunden till det hela är att HBGary, ett säkerhetsföretag, hade lagt en massa tid på att försöka identifiera ett par medlemmar i Anonymous. Attacken var en hämndaktion helt enkelt.
Om du inte orkar ta dig igenom hela berättelsen (en stor del av texten ägnas åt att förklara grundläggande saker) så följer här en kortversion:
Så kan det gå. Artikeln tar upp flera saker som kunde ha förhindrat hacket på flera lager. Det mest uppseendeväckande i hela kedjan väl användandet av social engineering. Resterande steg är fairly straightforward. För att citera Ars Technica:
Most frustrating for HBGary must be the knowledge that they know what they did wrong, and they were perfectly aware of best practices; they just didn't actually use them. Everybody knows you don't use easy-to-crack passwords, but some employees did. Everybody knows you don't re-use passwords, but some of them did. Everybody knows that you should patch servers to keep them free of known security flaws, but they didn't.
Precis vad jag tycker:
Drift är osexigt men ur säkerhetssynpunkt är det så mycket viktigare med "det dagliga" än implementeringsdetaljer i webbapplikationer. Det värsta med det hela är att det inte är raketkirurgi; alla vet att det är viktigt med ordning och reda, alla vet att det inte är bra att receptionisten har sådana rättigheter, alla vet att "123456" är världens sämsta lösenord, alla vet att det är farligt att inte förstå sig på sina system. Det är inga nyheter.
Samma lösenord för system med olika krav är dåligt. Publika nycklar för att logga in över SSH är bättre än lösenord. Säkerhetspatchar, i synnerhet då det finns publika exploit, är viktiga. Man kan hålla på hur länge som helst och räkna upp alla dessa vanliga saker som gör skillnaden mellan osäkert och säkert.
Wake up people. Vi kan ju det här. Varför gör vi det inte?
--
Stefan Pettersson
Om du inte orkar ta dig igenom hela berättelsen (en stor del av texten ägnas åt att förklara grundläggande saker) så följer här en kortversion:
- HBGary Federal har CMS specialutvecklad av tredje part. CMS har SQL injection-sårbarhet.
- Databas med användare och lösenordshashar dumpas.
- Vanlig vanilj-MD5 har använts för att hasha. Rainbow tables.
- Vissa användares lösenord är samma på Linuxservern support.hbgary.com och har där SSH-access.
- Linuxservern är en privilege escalation-sårbarhet. Tillgång till backuper och diverse forskningsdokument.
- Ytterligare ett av lösenorden från CMS-databasen användes för administration av företagets Google Apps-konto.
- Som administratör, återställ lösenord på Greg Hoglunds mailkonto, logga in.
- Använd Gregs konto för att lura en annan administratör av rootkit.com att återställa lösenordet på ett användarkonto och öppna brandväggen.
- Rootlösenordet till rootkit.com fanns i ett mail i Greg Hoglunds inbox.
- Defacea och dumpa användardatabasen på rootkit.com.
Så kan det gå. Artikeln tar upp flera saker som kunde ha förhindrat hacket på flera lager. Det mest uppseendeväckande i hela kedjan väl användandet av social engineering. Resterande steg är fairly straightforward. För att citera Ars Technica:
Most frustrating for HBGary must be the knowledge that they know what they did wrong, and they were perfectly aware of best practices; they just didn't actually use them. Everybody knows you don't use easy-to-crack passwords, but some employees did. Everybody knows you don't re-use passwords, but some of them did. Everybody knows that you should patch servers to keep them free of known security flaws, but they didn't.
Precis vad jag tycker:
Drift är osexigt men ur säkerhetssynpunkt är det så mycket viktigare med "det dagliga" än implementeringsdetaljer i webbapplikationer. Det värsta med det hela är att det inte är raketkirurgi; alla vet att det är viktigt med ordning och reda, alla vet att det inte är bra att receptionisten har sådana rättigheter, alla vet att "123456" är världens sämsta lösenord, alla vet att det är farligt att inte förstå sig på sina system. Det är inga nyheter.
Samma lösenord för system med olika krav är dåligt. Publika nycklar för att logga in över SSH är bättre än lösenord. Säkerhetspatchar, i synnerhet då det finns publika exploit, är viktiga. Man kan hålla på hur länge som helst och räkna upp alla dessa vanliga saker som gör skillnaden mellan osäkert och säkert.
Wake up people. Vi kan ju det här. Varför gör vi det inte?
--
Stefan Pettersson
Kommentarer
Postat av: Martin da Fonseca
En mycket bra artikel. Mycket välskriven.
Det som man dock inte går in på är att med access till mailboxen så har man oftast bra underlag för att immitera en annan person. När Anonymous hacker gick in och fejkade att vara att Greg Hoglund, ägare av företaget, så hade han/hon bra underlag för att kommunicera som Greg brukar göra med just denne Jussi som skötte Rootkit.org.
Spontant så känner jag att man inte borde gå på vad som skrevs i dom mailen, men det är troligen varianter på det språk Greg har använt tidigare till Jussi. Mail är ju ett begränsat socialt medium, så det är svårare att läsa av vem man kommunicerar med där.
Trackback
