stringtranslate.com

Козья безопасность

Goatse Security ( GoatSec ) представляла собой сплоченную хакерскую группу из девяти человек [13] в серой шляпе [14] [15] , которая специализировалась на обнаружении недостатков безопасности. [3] [16] Это было подразделение антиблогинговой интернет-троллинговой организации, известной как Ассоциация негров-геев Америки (GNAA). [2] Группа получила свое название от шокирующего сайта Goatse.cx , [5] и выбрала своим слоганом «Зияющие дыры» . [17] Сайт закрыт без обновлений с мая 2014 года. [18]

В июне 2010 года Goatse Security получила адреса электронной почты примерно 114 000 пользователей Apple iPad. Это привело к расследованию ФБР и возбуждению уголовных обвинений против двух членов группы.

Основание

В состав GNAA входило несколько исследователей безопасности. По словам представителя Goatse Security Леона Кайзера, GNAA не смогла в полной мере использовать свои таланты, поскольку группа считала, что не найдется никого, кто серьезно отнесся бы к данным безопасности, опубликованным GNAA. Чтобы создать среду, с помощью которой члены GNAA могли публиковать свои выводы по безопасности, в декабре 2009 года GNAA создала Goatse Security. [2] [3]

Обнаружение уязвимостей браузера

Чтобы защитить свой веб-браузер от межпротокольной эксплуатации , Mozilla заблокировала несколько портов , к которым HTML-формы обычно не имеют доступа. В январе 2010 года GNAA обнаружило, что блоки Mozilla не охватывают порт 6667 , что делает браузеры Mozilla уязвимыми для межпротокольных сценариев. GNAA разработала эксплойт на основе JavaScript , чтобы заполонить каналы IRC . Хотя EFnet и OFTC смогли заблокировать атаки, Freenode изо всех сил пыталась противодействовать атакам. Goatse Security выявила уязвимость, а один из ее участников, Эндрю Ауэрнхаймер, он же « weev », разместил информацию об эксплойте в Encyclepedia Dramatica . [19] [20] [21]

В марте 2010 года компания Goatse Security обнаружила уязвимость переполнения целых чисел в веб-браузере Apple Safari и опубликовала информацию об эксплойте в энциклопедии Dramatica. [22] Они выяснили, что человек мог получить доступ к заблокированному порту, добавив 65 536 к номеру порта. [23] [24] Эта уязвимость также была обнаружена в Arora , [25] iCab , [26] OmniWeb , [27] и Sustainable. [28] Хотя в марте Apple устранила сбой в настольных версиях Safari, компания оставила сбой неисправленным в мобильных версиях браузера. [22] [29] Goatse Security заявила, что хакер мог воспользоваться уязвимостью мобильного Safari, чтобы получить доступ и нанести вред Apple iPad . [22] [29]

В июне 2010 года компания Goatse Security обнаружила уязвимость на веб-сайте AT&T . [30] [31] В то время AT&T была единственным поставщиком услуг 3G для iPad от Apple в США . [32] При регистрации на услугу 3G AT&T с iPad компания AT&T извлекает ICC-ID из SIM-карты iPad и связывает его с адресом электронной почты, указанным при регистрации. [30] [33] Чтобы упростить процесс входа в систему с iPad, веб-сайт AT&T получает ICC-ID SIM-карты и предварительно заполняет поле адреса электронной почты адресом, указанным при регистрации. [30] [33] Компания Goatse Security поняла, что, отправив HTTP-запрос со встроенным в него действующим ICC-ID на веб-сайт AT&T, веб-сайт раскроет адрес электронной почты, связанный с этим ICC-ID. [30] [33]

5 июня 2010 года Дэниел Спитлер, он же «ДжексонБраун», начал обсуждать эту уязвимость и возможные способы ее эксплуатации, включая фишинг , на канале IRC. [8] [34] [35] Компания Goatse Security создала сценарий перебора на основе PHP , который отправлял HTTP-запросы со случайными ICC-ID на веб-сайт AT&T до тех пор, пока не будет введен законный ICC-ID, который возвращал адрес электронной почты, соответствующий ICC-ID. [30] [33] Этот сценарий получил название «Slurper учетной записи iPad 3G». [35]

Затем Goatse Security попыталась найти подходящий источник новостей, чтобы раскрыть просочившуюся информацию, а Ауэрнхаймер попытался связаться с руководителями News Corporation и Thomson Reuters , включая Артура Сискинда , по поводу проблем безопасности AT&T. [36] 6 июня 2010 г. Ауэрнхаймер отправил электронные письма с некоторыми восстановленными ICC-ID, чтобы подтвердить свои утверждения. [34] [36] Журналы чатов того периода также показывают, что внимание и публичность могли быть стимулом для группы. [37]

Вопреки первоначальному заявлению, группа сначала раскрыла уязвимость Gawker Media, прежде чем уведомить об этом AT&T [37] , а также раскрыла данные 114 000 пользователей iPad, в том числе знаменитостей, представителей правительства и военных. Эта тактика вновь спровоцировала серьезные дебаты о правильном раскрытии недостатков ИТ-безопасности. [38]

Ауэрнхаймер утверждал, что Goatse Security использовала общепринятые отраслевые стандарты, и сказал: «Мы старались быть хорошими парнями». [38] [39] Дженнифер Граник из Electronic Frontier Foundation также защищает тактику, используемую Goatse Security. [38]

14 июня 2010 года Майкл Аррингтон из TechCrunch наградил группу премией Crunchie за общественную службу. Это был первый раз, когда Crunchie была вручена вне ежегодной церемонии награждения Crunchies. [40] [41]

Затем ФБР начало расследование инцидента, [42] что привело к возбуждению уголовного дела в январе 2011 года [10] и рейду в доме Ауэрнхаймера. Обыск был связан с расследованием AT&T, и Ауэрнхаймер впоследствии был задержан и освобожден под залог [43] по государственным обвинениям в хранении наркотиков, которые [44] позже были сняты. [45] После освобождения под залог он нарушил запрет в знак протеста и оспорил законность обыска в его доме и отказа в доступе к государственному защитнику . Он также попросил пожертвования через PayPal для покрытия судебных издержек. [15] [46] В 2011 году Министерство юстиции объявило, что ему будет предъявлено обвинение по одному пункту обвинения в сговоре с целью получения доступа к компьютеру без разрешения и по одному пункту обвинения в мошенничестве. [45] Сообвиняемый Дэниел Спитлер был освобожден под залог. [47] [48]

20 ноября 2012 года Ауэрнхаймер был признан виновным по одному пункту обвинения в мошенничестве с личными данными и по одному пункту обвинения в сговоре с целью получения доступа к компьютеру без разрешения [49] и написал в Твиттере , что подаст апелляцию на это решение. [50] Алекс Пилосов, друг, который также присутствовал при вынесении решения, написал в Твиттере, что Ауэрнхаймер останется на свободе под залогом до вынесения приговора, «который продлится как минимум 90 дней». [51]

29 ноября 2012 года Ауэрнхаймер опубликовал в журнале Wired Magazine статью под названием «Забудьте о раскрытии информации — хакерам следует держать дыры в безопасности при себе», в которой выступает за раскрытие любого эксплойта нулевого дня только тем лицам, которые «будут использовать его в интересах социальной справедливости». ." [52]

11 апреля 2014 года Третий округ вынес решение об отмене приговора Ауэрнхаймеру на том основании, что место рассмотрения дела в Нью-Джерси было ненадлежащим. [53] [54] Судьи не рассмотрели существенный вопрос о законности доступа к сайту. [55] Он был освобожден из тюрьмы поздно вечером 11 апреля. [56]

Другие достижения

В мае 2011 года Goatse Security обнаружила DoS- уязвимость, затрагивающую несколько дистрибутивов Linux , после того, как группа обнаружила, что длинный URL-адрес Advanced Packaging Tool может привести к сбою Compiz . [57]

В сентябре 2012 года Microsoft отметила Goatse Security за помощь в обеспечении безопасности их онлайн-сервисов. [9]

Рекомендации

  1. Тейт, Райан (9 июня 2010 г.). «AT&T борется с распространением страха перед iPad». Вэлливаг . Гоукер Медиа . Архивировано из оригинала 15 июля 2010 года . Проверено 17 октября 2010 г.
  2. ↑ abcd Кайзер, Леон (19 января 2011 г.). «Интервью: Служба безопасности Goatse выдвинула обвинения ФБР после взлома iPad AT&T». DailyTech (интервью: стенограмма). Беседовал Мик Джейсон. Архивировано из оригинала 31 марта 2014 года . Проверено 21 января 2011 г.
  3. ^ abc Доуэлл, Эндрю (17 июня 2010 г.). «Программист задержан после обыска ФБР» . Журнал "Уолл Стрит . Dow Jones & Company, Inc. Проверено 11 октября 2010 г.
  4. ^ abcde «Команда». Козья охрана . 14 июня 2010 года. Архивировано из оригинала 30 сентября 2010 года . Проверено 22 сентября 2010 г.
  5. ↑ Аб Чокши, Нирадж (10 июня 2010 г.). «Познакомьтесь с одним из хакеров, раскрывших утечку безопасности iPad». Атлантический океан . Атлантическая ежемесячная группа . Проверено 16 сентября 2010 г.
  6. Кейзер, Грегг (17 июня 2010 г.). «Хакер iPad арестован по множеству обвинений в хранении наркотиков после обыска ФБР» . Компьютерный мир . Компьютерный Мир Inc. Проверено 16 сентября 2010 г.
  7. Мик, Джейсон (14 июня 2010 г.). «AT&T приносит извинения перед пользователями iPad. Мы раскрываем местоположение хакеров». ДейлиТех . ООО «ДейлиТех». Архивировано из оригинала 20 августа 2010 года . Проверено 16 сентября 2010 г.
  8. ^ Аб Билтон, Ник; Уортэм, Дженна (18 января 2011 г.). «Двое обвиняются в мошенничестве при взломе безопасности iPad». Нью-Йорк Таймс . Проверено 21 января 2011 г.
  9. ^ ab «Благодарности исследователям безопасности за онлайн-службы Microsoft». Майкрософт . Проверено 19 октября 2012 г.
  10. ^ ab Окружной суд США — Окружной суд Нью-Джерси, дело: MAG 11-4022 (CCC). Подано в суд 13 января 2011 г.
  11. ^ «Сжимайте, наш способ навсегда сказать SSL PKI: «К черту вас»» . Козья охрана . 8 сентября 2010 года. Архивировано из оригинала 11 сентября 2010 года . Проверено 29 октября 2010 г.
  12. Лоусон, Нейт (8 сентября 2010 г.). «Сжатие уступает TLS+SRP». корневые лаборатории rdist . Нэйт Лоусон . Проверено 29 октября 2010 г.
  13. Ынчжон Ча, Ариана (12 июня 2010 г.). «Нарушение безопасности Apple iPad выявило уязвимость мобильных устройств». Вашингтон Пост . Проверено 6 апреля 2011 г.
  14. ^ Кирш, Кассандра (2014). «Хакер в серой шляпе: примирение реальности киберпространства и закона» (PDF) . Обзор законодательства Северного Кентукки . 41 : 386.[ мертвая ссылка ]
  15. ^ Ab «Хакер» iPad AT&T нарушает приказ о неразглашении информации и разглагольствует над полицейскими The Register , Джон Лейден. 7 июля 2010 г.
  16. Тейт, Райан (10 июня 2010 г.). «Нарушение iPad от Apple вызывает тревогу» . Все учтено (Интервью: аудио/расшифровка). Беседовала Мелисса Блок . Национальное общественное радио . Проверено 16 сентября 2010 г.
  17. Рэган, Стив (10 июня 2010 г.). «AT&T теряет 114 000 адресов электронной почты из-за ошибки сценария». Технический вестник . ВОТР Лимитед. Архивировано из оригинала 18 ноября 2011 года . Проверено 28 сентября 2010 г.
  18. ^ «Уязвимость Compiz « Goatse Security» . Архивировано из оригинала 24 июля 2019 года . Проверено 15 октября 2019 г.
  19. Константин, Лукиан (30 января 2010 г.). «Ошибка Firefox, используемая для беспокойства всей сети IRC» . Софтпедия . Софтпедия . Проверено 19 сентября 2010 г.
  20. Гудин, Дэн (30 января 2010 г.). «Атака с помощью Firefox наносит ущерб пользователям IRC». Регистр . Ситуация Публикация . Проверено 19 сентября 2010 г.
  21. Гудин, Дэн (9 июня 2010 г.). «Ошибка в системе безопасности раскрывает адреса элитных владельцев iPad» . Регистр . Ситуация Публикация . Проверено 19 сентября 2010 г.
  22. ^ abc Кейзер, Грегг (14 июня 2010 г.). «AT&T «нечестна» в отношении угрозы атаки на iPad, говорят хакеры» . Компьютерный мир . Компьютерный Мир Inc. Проверено 18 сентября 2010 г.
  23. Рэган, Стив (14 июня 2010 г.). «Goatse Security говорит AT&T: «Ты облажался»». Технический вестник . ВОТР Лимитед. п. 2. Архивировано из оригинала 3 октября 2011 года . Проверено 6 октября 2010 г.
  24. ^ «CVE-2010-1099». Национальная база данных уязвимостей . НИСТ . 24 марта 2010 года . Проверено 6 октября 2010 г.
  25. ^ «CVE-2010-1100». Национальная база данных уязвимостей . НИСТ . 24 марта 2010 года . Проверено 6 октября 2010 г.
  26. ^ «CVE-2010-1101». Национальная база данных уязвимостей . НИСТ . 24 марта 2010 года . Проверено 6 октября 2010 г.
  27. ^ «CVE-2010-1102». Национальная база данных уязвимостей . НИСТ . 24 марта 2010 года . Проверено 6 октября 2010 г.
  28. ^ «CVE-2010-1103». Национальная база данных уязвимостей . НИСТ . 24 марта 2010 года . Проверено 6 октября 2010 г.
  29. ^ Аб Голдман, Дэвид (14 июня 2010 г.). «Хакеры говорят, что в iPad больше дыр в безопасности». CNNMoney.com . CNN . Проверено 18 сентября 2010 г.
  30. ↑ abcde Keizer, Грегг (10 июня 2010 г.). «Скрипт «грубой силы» украл адреса электронной почты iPad» . Компьютерный мир . Компьютерный Мир Inc. Проверено 18 сентября 2010 г.
  31. Тейт, Райан (9 июня 2010 г.). «Худшее нарушение безопасности Apple: разоблачено 114 000 владельцев iPad». Вэлливаг . Гоукер Медиа . Архивировано из оригинала 26 июля 2010 года . Проверено 16 сентября 2010 г.
  32. Анте, Спенсер Э. (10 июня 2010 г.). «AT&T сообщает об утечке данных владельца iPad» . Журнал "Уолл Стрит . Dow Jones & Company, Inc. Проверено 26 сентября 2010 г.
  33. ^ abcd Бьюкенен, Мэтт (9 июня 2010 г.). «Маленькая особенность, которая привела к взлому безопасности iPad от AT&T». Гизмодо . Гоукер Медиа . Проверено 22 сентября 2010 г.
  34. ^ ab Жалоба на уголовное преступление. Архивировано 25 января 2011 года в Wayback Machine . Окружной суд США – Окружной суд штата Нью-Джерси, дело: MAG 11-4022 (CCC). Подано в суд 13 января 2011 г.
  35. ^ аб Вореякос, Дэвид (18 января 2011 г.). «США объявляют обвинения в предполагаемом взломе серверов AT&T с помощью пользователей iPad». Bloomberg.com . Bloomberg LP Проверено 21 января 2011 г.
  36. ↑ Аб Макмиллан, Роберт (15 декабря 2010 г.). «Хакер AT&T iPad боролся за внимание средств массовой информации, как показывают документы» . Мир ПК . PC World Communications, Inc. Проверено 16 декабря 2010 г.[ постоянная мертвая ссылка ]
  37. ^ аб Форесман, Крис (19 января 2011 г.). «Тролли Goatse Security преследовали «макс лолс» во взломе iPad от AT&T» . Арс Техника . Проверено 22 января 2011 г.
  38. ^ abc Уортен, Бен; Спенсер Э. Анте (14 июня 2010 г.). «Компьютерные эксперты сталкиваются с негативной реакцией» . WSJ.com .
  39. Лейдон, Джон (7 июля 2010 г.). «Хакер iPad AT&T нарушает приказ о затыкании рта и разглагольствует в адрес полицейских» . Регистр . Проверено 16 февраля 2011 г.
  40. Аррингтон, Майкл (14 июня 2010 г.). «Мы вручаем Goatse Security награду Crunchie Award за государственную службу» . Технический кризис . Проверено 31 марта 2010 г.
  41. Паттерсон, Бен (14 июня 2010 г.). «AT&T приносит извинения за взлом iPad и обвиняет хакеров» . Yahoo! Новости . Проверено 31 марта 2010 г.
  42. Тейт, Райан (9 июня 2010 г.). «Худшее нарушение безопасности Apple: разоблачено 114 000 владельцев iPad». Gawker.com . Гоукер Медиа . Архивировано из оригинала 12 июня 2010 года . Проверено 13 июня 2010 г.
  43. ^ Эмспак, Джесси; Перна, Габриэль (17 июня 2010 г.). «Веб-сайт арестованного хакера раскрывает экстремистские взгляды» . Интернэшнл Бизнес Таймс . Интернэшнл Бизнес Таймс . Архивировано из оригинала 6 марта 2020 года . Проверено 11 июля 2010 г.
  44. Доуэлл, Эндрю (17 июня 2010 г.). «Программист задержан после обыска ФБР» . Журнал "Уолл Стрит .
  45. ^ ab «Против злоумышленников AT&T на iPad выдвинуты уголовные обвинения — Computerworld» . 18 января 2011 г.
  46. ^ Вев. «Лицемеры и фарисеи». Goatse.fr. Архивировано из оригинала 24 мая 2017 года . Проверено 18 апреля 2011 г.
  47. Фойгт, Курт (21 января 2011 г.). «Нет залога для подозреваемого в краже адреса электронной почты второго iPad» . MSNBC.com . Ассошиэйтед Пресс . Проверено 15 февраля 2011 г.
  48. Портер, Дэвид (28 февраля 2011 г.). «Подозреваемый в краже данных iPad выпущен под залог в Нью-Джерси». Новости АВС . Ассошиэйтед Пресс . Проверено 2 марта 2011 г.
  49. Зеттер, Ким (20 ноября 2012 г.). «Хакер признан виновным во взломе сайта AT&T с целью получения данных о клиентах iPad | Уровень угрозы | Wired.com» .
  50. ^ «Статус Twitter, 15:38 — 20 ноября 12» .
  51. ^ «Статус Twitter, 15:32 — 20 ноября 12» .
  52. Биренд, Дуг (29 ноября 2012 г.). «Забудьте о раскрытии информации — хакерам следует держать бреши в безопасности при себе». Проводной .
  53. ^ Дело: 13-1816 Документ: 003111586090
  54. Кравец, Дэвид (11 апреля 2014 г.). «Апелляционный суд отменяет обвинительный приговор и приговор хакеру / троллю «weev»» . Арс Техника . Проверено 11 апреля 2014 г.
  55. Хилл, Кашмир (11 апреля 2014 г.). «Вив освобожден, но суд ставит перед собой более серьезный вопрос« хакерство или исследование безопасности »». Форбс . Проверено 11 апреля 2014 г.
  56. Вореякос, Дэвид (14 апреля 2014 г.). «Вечеринки и твиты хакера AT&T Weev, поскольку дело все еще не решено» . Блумберг . Проверено 14 апреля 2014 г.
  57. Константин, Лукиан (16 мая 2011 г.). «Опасная уязвимость Linux, связанная с отказом в обслуживании, раскрыта как нулевой день» . Софтпедия . Проверено 25 марта 2014 г.

Внешние ссылки