Claudio Tamburrino

HBGary, un piano per screditare Wikileaks

Gli Anonymous si tramutano in hacker e smontano pezzo per pezzo la credibilità della società "esperta" in sicurezza informatica. Una storia di kernel non patchati e ingegneria sociale

Roma - L'azienda di sicurezza HBGary finita nel mirino degli Anonymous sembra ormai al centro di uno psicodramma: la collegata HBGary Federal ha cancellato il discorso che doveva tenere riguardo agli Anonymous (denunciandone i responsabili di alcuni dei più famosi attacchi e delineandone la gerarchia) e che ha scatenato la reazione del gruppo stesso. Attesa alla conferenza RSA di San Francisco sulla sicurezza, poi, HBGary si è autoesclusa citando rischi di sicurezza: il loro stand è stato "vandalizzato" con un poster in pieno stile 4Chan: "Anon...in it 4 the lulz". Il suo CEO, Aaron Barr, ha quindi riferito di aver ricevuto nei giorni precedenti "minacce di morte".

HBGary è un'azienda che si definisce esperta in sicurezza, e che, pur piccola, con la sua offerta di servizi e software era arrivata a ritagliarsi un ruolo non marginale: ha lavorato con varie agenzie governative statunitensi, con l'Interpol, con McAfee e Apple aveva espresso interesse nei confronti dei suoi prodotti. Agli Anonymous, un gruppo eterogeneo sia nell'età che nelle conoscenze e teoricamente poco organizzato, tuttavia, è bastata poco più di una notte per metterla in ginocchio insieme al suo CEO, Aaron Barr.

L'azienda di sicurezza, che voleva cavalcare le scorribande del gruppo di hacktivisti per ritagliarsi un ruolo rilevante nella scena della sicurezza informatica internazionale, ha infatti subito un duro colpo dall'attacco che ha finito per subire, quasi completamente per suoi errori a livello di misure adottate a tutela dei propri sistemi informatici. Oltre ai dati perduti, a pesare è il danno di immagine subito.
Tra le 67mila email aziendali pubblicate da Anonymous (su un sito creato ad hoc in stile Wikileaks, Anonleaks.ru) sarebbero comparsi materiali scottanti come la proposta da parte di Barr a Bank of America, lo studio legale Hunton&Williams e la Camera di Commercio statunitense, in vista dei nuovi documenti finanziari segreti che Assange ha minacciato di divulgare, su come avrebbero potuto (in collaborazione con le aziende di sicurezza Palantir e Berico) screditare Wikileaks con cyberattacchi al sito e ai suoi sostenitori e inondandolo di documenti falsi.

Secondo gli Anonymous, questi piani da parte di HBGary sarebbero oltretutto stati noti anche dal Dipartimento di Giustizia statunitense. L'azienda ha invece accusato gli hacktivisti di aver falsificato i documenti divulgati, mentre il gruppo ha fatto notare che ogni email contiene la firma digitale che le identifica come reale.

L'attacco con cui Anonymous ha piegato HBGary è stato spiegato nei dettagli da ArsTechnica: non si è trattato, come era evidente, di un semplice DDoS, ma di un'offensiva che ha sfruttato un bug individuato nel content management system (CMS) che il sito dell'azienda, hbgaryfederal.com (che al momento risulta ancora offline), si era fatto fare su misura da terze parti. Il sito era per questo suscettibile ad un attacco SQL injection, attraverso cui il gruppo ha avuto accesso al database degli utenti con la lista di username, email e password degli impiegati che avevano accesso al CMS.

A questa falla si sono concatenati errori umani, dimenticanze, leggerezze e distrazioni. Il primo errore è stato nel sistema utilizzato per tutelare le password che, quanto meno, erano immagazzinate cifrate. Ma non si impiegavano tecniche di camuffamento con il salting (l'inserimento di una piccola quantità di dati random in ogni password per disinnescare le tecniche di decifratura), né sistemi di hashing doppio. Così agli Anonymous che si sono occupati dell'attacco è bastato ricorrere ad attacchi basati su cosiddette rainbow table per risalire alle password originali e prendere il controllo del CSM.

Il sistema, inoltre, utilizzava la stessa password (oltretutto di pochi e sempici caratteri) anche per la macchina di supporto Linux su cui erano conservati gli shell account con ssh access degli impiegati.

A questo punto gli attacanti hanno scovato una vulnerabilità nel kernel utilizzato (individuata già ad ottobre e con già a disposizione in circolazione patch correttive non impiegate dall'azienda) che ha permesso agli hacker di ingannare il sistema per dare ad un utente maggiori privilegi.

Aggiungendo la beffa la danno, Barr usava la stessa password anche per altre postazioni, dall'email agli account Twitter e Linkedin. Compreso l'account Gmail che aveva anche sulle caselle degli altri dipendenti lo status di amministratore, con tutto ciò che ne consegue per quanto riguarda i privilegi di accesso, e che conteneva l'indirizzo di Jussi Jaakonaho, Chief Security Specialist di Nokia. Da quest'ultimo hanno ottenuto le ultime informazioni necessarie a prendere il completo controllo delle macchine informatiche del sito di sicurezza, chiedendoglielo semplicemente tramite l'email di cui avevano ottenuto il controllo, condendo il tutto con un pizzico di social engineering.

Claudio Tamburrino
Notizie collegate
  • AttualitàAnonymous al contrattaccoNel mirino finiscono l'azienda che supportava la cyber difesa dell'FBI, il Governo italiano, Mubarak e il governo dello Yemen. Richard Stallman le considera dimostrazioni di piazza mediate dalla Rete
97 Commenti alla Notizia HBGary, un piano per screditare Wikileaks
Ordina
  • Che coglionazzi! ROTFL ROTFL ROTFL
    non+autenticato
  • Ma che l'informatica in Italia faccia così pena anche perchè presunti professionisti sono impegnati a farsi guerre di religione piuttosto che analizzare i fatti obiettivamente?
    Un sistema installato e mantenuto di merda lo è indipendentemente che ci giri Windows, Linux, Unix, Solaris, CazzOS...
    Siete ridicoli!
    non+autenticato
  • - Scritto da: leonestupidocane
    > scusa mi sembra che ci sia differenza tra pizz e
    > informatica, poi se non erro mi sembrava una
    > societa di sicurezza molto buona si era pure
    > permessa di sfidare una banda di hackers

    La differenza e' che ci vuole un hacker di basso profilo per abbattere una pessima ditta di sicureza, mentre per sfasciare il locale di un pessimo pizzaiolo non serve essere hacker, basta essere grossi, veloci o in tanti.
    krane
    22528
  • ecco che fine fanno le societa che per questioni di sicurezza pensano di
    usare linuz.
    se il server fosse stato un win 2008 non sarebbero mai riusciti a bucarlo.

    In genere molti pensano di usare linuz e stare al sicuro peccato che bisogna gestirlo, di bachi e patch c'è ne sono ha iosa qui dove lavoro per l'alzata di genio di unmanager si è installata una macchina linuz, praticamente qui fisso per tre giorni a settimana avevamo un sistemista che patchava configurava, ovviaqmente il costo era alto e ormai da qualche mese non la si aggiorna più, un giorno di questi la troviamo craccata e vedrai che divertimento.

    Bo stampo sto articolo non si sa mai che il tipo rinsavisce e mettiamo su na bella macchina win 2008
  • - Scritto da: leonestupidocane
    > ecco che fine fanno le societa che per questioni
    > di sicurezza pensano di> usare linuz.

    come fa il 60% di internet

    > se il server fosse stato un win 2008 non
    > sarebbero mai riusciti a> bucarlo.

    parere dell'esperto di sicurezza leonestupidocane

    i server microsoft difatti hanno una grande reputazione di soliditá
    code red, sqhell, blaster e tanti altri worm che PRENDONO IL CONTROLLO DEL SERVER AUTOMATICAMENTE sono tutte balle che si immaginano i cattivi pinguinari.

    > Bo stampo sto articolo non si sa mai che il tipo
    > rinsavisce e mettiamo su na bella macchina win> 2008
    che ha tutti i dischi condivisi come c$, d$ eccetera
    proprio una scelta sicura !!!!!
    non+autenticato
  • - Scritto da: Undertaker
    > - Scritto da: leonestupidocane
    > > ecco che fine fanno le societa che per questioni
    > > di sicurezza pensano di> usare linuz.
    >
    > come fa il 60% di internet

    infatti molti sono server universitari dove lo studente ben cinghializzato
    patch configura tanto non lo pagano niente.
    Il resto sono di aziende che butta la meta del budget in configurazioni e aggiornamenti

    >
    > > se il server fosse stato un win 2008 non
    > > sarebbero mai riusciti a> bucarlo.
    >
    > parere dell'esperto di sicurezza leonestupidocane


    ahaahhaah senti chi parla meglio stupidocane che Undertaker
    ahahahhahahhahahahah pxxxx

    >
    > i server microsoft difatti hanno una grande
    > reputazione di
    > soliditá

    hai centrato tutto vedi applicandoti sei anche quasi mediocre

    > code red, sqhell, blaster e tanti altri worm che

    tutti paccati senza problemi e con minimo dispendio di tempo
    poi se riesci a tirare in ballo qualcosa di nuovo sarebbe meglio.

    ma gia che ci sei non potevi mettere anche i love you.


    Comunque mio caro espertone il primo verme su internet nacque su macchine unix se proprio vogliamo essere circoncisi


    > PRENDONO IL CONTROLLO DEL SERVER AUTOMATICAMENTE
    > sono tutte balle che si immaginano i cattivi
    > pinguinari.


    si parliamo di chi entrava direttamente nelle machine preposte a gestire i sorgenti open source mettendo back dorr e altro (tutte macchine linuzzzzz)


    >
    > > Bo stampo sto articolo non si sa mai che il tipo
    > > rinsavisce e mettiamo su na bella macchina win>
    > 2008
    > che ha tutti i dischi condivisi come c$, d$
    > eccetera
    > proprio una scelta sicura !!!!!

    che puoi con un minimo di intervento togliere, per fare la minima cosa sul tuo linuzzzzzo hai voglia a leggere tonellate di how tooooooo su internet ovviamente non giungendo alla soluzione definitiva
  • > > code red, sqhell, blaster e tanti altri worm che
    > tutti paccati senza problemi e con minimo
    > dispendio di
    > tempo
    > poi se riesci a tirare in ballo qualcosa di nuovo
    > sarebbe
    > meglio.

    tutti paccati, giusto.
    sisi minimo dispendio, 1 aggiornamento per ogni programma... su linux aptitude upgrade, zypper up ecc... ecc...
    non+autenticato
  • - Scritto da: lol
    > > > code red, sqhell, blaster e tanti altri worm
    > che
    > > tutti paccati senza problemi e con minimo
    > > dispendio di
    > > tempo
    > > poi se riesci a tirare in ballo qualcosa di
    > nuovo
    > > sarebbe
    > > meglio.
    >
    > tutti paccati, giusto.
    > sisi minimo dispendio, 1 aggiornamento per ogni
    > programma... su linux aptitude upgrade, zypper up
    > ecc...
    > ecc...

    Hahahahahahahahah come no vorrei vedere se tu su un server di produzione ti prendi la responsabilità di lanciare il comando (colpo di rivoltella)
    rido cosi forte che meta dei colleghi sono venuti a leggere la strxxxxx che hai scritto.
  • - Scritto da: leonestupidocane
    > - Scritto da: lol
    > > > > code red, sqhell, blaster e tanti altri worm
    > > che
    > > > tutti paccati senza problemi e con minimo
    > > > dispendio di
    > > > tempo
    > > > poi se riesci a tirare in ballo qualcosa di
    > > nuovo
    > > > sarebbe
    > > > meglio.
    > >
    > > tutti paccati, giusto.
    > > sisi minimo dispendio, 1 aggiornamento per ogni
    > > programma... su linux aptitude upgrade, zypper
    > up
    > > ecc...
    > > ecc...
    >
    > Hahahahahahahahah come no vorrei vedere se tu su
    > un server di produzione ti prendi la
    > responsabilità di lanciare il comando (colpo di
    > rivoltella)
    > rido cosi forte che meta dei colleghi sono venuti
    > a leggere la strxxxxx che hai
    > scritto.

    Io l'ho fatto per 7 anni, sul server GIS (CentOS) che gestisce le buste paga dell'azienda in cui lavoro, che ha oltre 500 dipendenti.
    Se continuo a farlo, vuol dire che tutto è sempre andato a buon fine, non credi?
    non+autenticato
  • - Scritto da: dick
    > - Scritto da: leonestupidocane
    > > - Scritto da: lol
    > > > > > code red, sqhell, blaster e tanti altri
    > worm
    > > > che
    > > > > tutti paccati senza problemi e con minimo
    > > > > dispendio di
    > > > > tempo
    > > > > poi se riesci a tirare in ballo qualcosa di
    > > > nuovo
    > > > > sarebbe
    > > > > meglio.
    > > >
    > > > tutti paccati, giusto.
    > > > sisi minimo dispendio, 1 aggiornamento per
    > ogni
    > > > programma... su linux aptitude upgrade, zypper
    > > up
    > > > ecc...
    > > > ecc...
    > >
    > > Hahahahahahahahah come no vorrei vedere se tu su
    > > un server di produzione ti prendi la
    > > responsabilità di lanciare il comando (colpo di
    > > rivoltella)
    > > rido cosi forte che meta dei colleghi sono
    > venuti
    > > a leggere la strxxxxx che hai
    > > scritto.
    >
    > Io l'ho fatto per 7 anni, sul server GIS (CentOS)
    > che gestisce le buste paga dell'azienda in cui
    > lavoro, che ha oltre 500
    > dipendenti.
    > Se continuo a farlo, vuol dire che tutto è sempre
    > andato a buon fine, non
    > credi?


    ma scusa che centra un server GIS (immaggino usato per gestire mappe catastali o altro) con le buste paga, mi sa che se non conosci la differenza non so bene cosa tu in questi 7 anni hai amministrato
    bo forse un condominio ahhahahahhahahahahhaha
  • - Scritto da: leonestupidocane

    > che puoi con un minimo di intervento togliere,
    > per fare la minima cosa sul tuo linuzzzzzo hai
    > voglia a leggere tonellate di how tooooooo su
    > internet ovviamente non giungendo alla soluzione
    > definitiva

    Certo che se non sai che razzo stai facendo te li devi leggere gli how-to. Si suppone che dopo abbia capito e quindi proceda in autonomia. E quale sarebbe l'alternativa? Il clicchete clicchete non devo capire? Come dici? No, devi sapere lo stesso perché un sistemista dev'essere preparato comunque? E allora quale sarebbe la differenza?
    FDG
    10708
  • - Scritto da: FDG
    > - Scritto da: leonestupidocane
    >
    > > che puoi con un minimo di intervento togliere,
    > > per fare la minima cosa sul tuo linuzzzzzo hai
    > > voglia a leggere tonellate di how tooooooo su
    > > internet ovviamente non giungendo alla soluzione
    > > definitiva
    >
    > Certo che se non sai che razzo stai facendo te li
    > devi leggere gli how-to. Si suppone che dopo
    > abbia capito e quindi proceda in autonomia. E
    > quale sarebbe l'alternativa? Il clicchete
    > clicchete non devo capire? Come dici? No, devi
    > sapere lo stesso perché un sistemista dev'essere
    > preparato comunque? E allora quale sarebbe la
    > differenza?


    bo se leggi come esponi non oso immagginare che sistemi metti in piedi
  • - Scritto da: leonestupidocane

    > > Certo che se non sai che razzo stai facendo te
    > li
    > > devi leggere gli how-to. Si suppone che dopo
    > > abbia capito e quindi proceda in autonomia. E
    > > quale sarebbe l'alternativa? Il clicchete
    > > clicchete non devo capire? Come dici? No, devi
    > > sapere lo stesso perché un sistemista dev'essere
    > > preparato comunque? E allora quale sarebbe la
    > > differenza?
    >
    > bo se leggi come esponi non oso immagginare che
    > sistemi metti in piedi

    Vedo che hai argomenti... letterali e non informatici. Non è che sei solo un lamerazzo e vieni qui a fare lo sbruffone?
    FDG
    10708
  • - Scritto da: leonestupidocane
    > - Scritto da: FDG
    > > - Scritto da: leonestupidocane
    > >
    > > > che puoi con un minimo di intervento togliere,
    > > > per fare la minima cosa sul tuo linuzzzzzo hai
    > > > voglia a leggere tonellate di how tooooooo su
    > > > internet ovviamente non giungendo alla
    > soluzione
    > > > definitiva
    > >
    > > Certo che se non sai che razzo stai facendo te
    > li
    > > devi leggere gli how-to. Si suppone che dopo
    > > abbia capito e quindi proceda in autonomia. E
    > > quale sarebbe l'alternativa? Il clicchete
    > > clicchete non devo capire? Come dici? No, devi
    > > sapere lo stesso perché un sistemista dev'essere
    > > preparato comunque? E allora quale sarebbe la
    > > differenza?
    >
    >
    > bo se leggi come esponi non oso immagginare che
    > sistemi metti in
    > piedi

    Guarda che anche tu non sei certo un purista della lingua sai?
    Negli ultimi 4 post hai commesso almeno 6 (e dico 6) errori di sintassi e grammatica da matita blu.

    Forse a furia di patchare sistemi windows 2008 ti sei dimenticato di aggiornarni anche il dizionario della lingua italiana nel coprocessore linguistico che hai nella zucca ?
    non+autenticato
  • il testo tradotto è la società ha dichiarato guerra agli anonymous con un cms buggato 1 macchina linux aggiornata a ott-2010.
    è come vedere un escremento di mucca e saltarci a piedi pari sopra.
    a stento trattengo le risate.
    non+autenticato
  • si sa che il ciabattino va in giro con le scarpe rotte... però di questi tempi non è un gran pubblicità!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)