Anonim hack AS Departemen Pertahanan - Analisis Attack "Hack of Universal"Agustus-November 2011 (new) action
Pada 12 Juli 2011, Booz Allen Hamilton militer terbesar AS kontraktor pertahanan mengakui bahwa mereka baru saja mengalami pelanggaran keamanan sangat serius, di tangan kelompok AntiSec hacktivist.
Operasi Anti-Keamanan (AntiSec) adalah operasi hacking, dilakukan oleh dua nama terbesar di dunia-topi hitam - Anonymous, dan LulzSec. Mereka mengklaim menargetkan korupsi pemerintah di seluruh dunia. Setelah hacking server dari Badan Kejahatan Serius Terorganisasi di Inggris, mereka mengalihkan perhatian mereka ke Departemen Keamanan Publik Arizona, melepaskan tiga cache terpisah dari informasi.
Kelompok hacktivist juga menyerang US Department of Homeland Security, pemerintah Brazil, pemerintah Tunisia, pemerintah Zimbabwe, dan banyak lainnya. Baru-baru ini, cabang Anonim Operasi AntiSec melanggar server NATO, mencuri sekitar gigabyte data. Mereka mengklaim bahwa informasi itu begitu sensitif sehingga mereka tidak akan melepaskan semua itu, mengklaim bahwa akan "bertanggung jawab".
Apa Apakah DicuriDijuluki "Militer Senin Meltdown", AntiSec mengklaim telah mencuri sekitar 90.000 alamat email militer, bersama dengan password hash.Ini disimpan ke SQL dump sangat padat, untuk men-download mudah dari The Pirate Bay (TPB).
Kelompok, membuat pengumuman menggunakan bahasa khas bertema bajak laut, menyebutkan bahwa mereka juga menemukan "peta dan kunci untuk berbagai peti harta karun lain yang dikubur di pulau instansi pemerintah, kontraktor federal dan perusahaan whitehat teduh".
Lembaga konsultan memiliki kebijakan untuk tidak mengomentari kebocoran atau serangan pada sistem nya. Namun, juru bicara untuk Departemen Pertahanan memang mengkonfirmasi serangan itu, dan mengklaim bahwa mereka bekerja sama dengan Booz Allen Hamilton untuk menyelidiki tingkat dan implikasi dari ini "acara memalukan".
Booz Allen Hamilton mencoba yang terbaik untuk mengecilkan pelanggaran. Dalam siaran pers setelah serangan mereka berkata, "Pada saat ini, kami tidak percaya bahwa serangan melampaui data yang berkaitan dengan sistem manajemen pembelajaran untuk sebuah badan pemerintah."
Jim Lewis, seorang pakar keamanan cyber dengan Pusat Urusan Strategis dan Internasional, menggemakan pikiran-pikiran ini ketika dia berkata "Aku tidak yakin itu masalah besar, mereka mengatakan bahwa mereka punya banyak alamat email? Kedengarannya seperti pemulung berburu lebih dari hack. "
Booz Allen dan Jim Lewis, aku punya kabar buruk untuk Anda.Pelanggaran ini melampaui alamat email, ini bukan berburu pemulung dan pelanggaran itu tidak terbatas pada sistem manajemen pembelajaran Anda.
Baca beberapa bagian berikutnya dari artikel ini untuk memahami ruang lingkup serangan, mendapatkan wawasan tentang bagaimana hal itu dilakukan dan mengambil mengintip ke dalam data dicuri.
Bagaimana mereka melakukannyaKelompok hacker tidak memberitahu kami persis bagaimana hack dieksekusi, namun mereka tidak menyebutkan bahwa mereka adalah entry point serangan SQL Injection. Mereka berhasil membuang seluruh database ke dalam sebuah file teks yang berarti bahwa mereka mungkin juga mendapatkan akses root ke sistem. Teori ini lebih dipaksakan oleh fakta bahwa mereka menemukan dan mencuri file lainnya, termasuk kode sumber dan beberapa email. Jenis data ini biasanya tidak tersedot menggunakan SQL Injection tetapi indikasi penetrasi lebih dalam.
Langkah-langkah keamanan pada sistem terpengaruh tidak terkesan AntiSec. Deskripsi mereka keamanan berjalan seperti ini, "... kami menemukan kapal mereka menjadi tongkang kayu kecil. Kami menyusup server pada jaringan mereka yang pada dasarnya memiliki langkah-langkah keamanan tidak ada di tempat ".
Pernyataan ini langsung memalukan bagi Booz Allen yang mengklaim bahwa mereka menawarkan "solusi keamanan yang kuat maya".Mereka juga menyatakan pada website mereka bahwa "keamanan cyber tidak dapat diperlakukan sebagai renungan."
AntiSec tertutup sebuah 'faktur' untuk audit keamanan:
“Enclosed is the invoice for our audit of your security systems, as well as the auditor’s conclusion.
4 hours of man power: $40.00
Network auditing: $35.00
Web-app auditing: $35.00
Network infiltration: $0.00
Password and SQL dumping: $200.00
Decryption of data: $0.00
Media and press: $0.00
Network auditing: $35.00
Web-app auditing: $35.00
Network infiltration: $0.00
Password and SQL dumping: $200.00
Decryption of data: $0.00
Media and press: $0.00
Total bill: $310.00”
Meskipun mereka mungkin hanya mencoba untuk menjadi lucu, beberapa informasi dapat diperoleh dari hal ini. Pertama-tama, tampaknya hack mengambil empat jam dan ditendang off dengan audit jaringan, diikuti dengan audit pada aplikasi web. Audit aplikasi web mungkin adalah apa yang tertangkap kerentanan SQL Injection di tempat pertama. Infiltrasi jaringan diikuti dan SQL dump kemudian dibawa. Harga di faktur ini merupakan indikasi dari seberapa banyak usaha terlibat dalam setiap kegiatan.
Analisis data
Untuk memahami ruang lingkup dari hack saya memutuskan untuk me-mount SQL dump ke sistem database saya dan melakukan beberapa analisis. Database hampir satu gigabyte dalam ukuran dan berisi lebih dari 600 tabel. Memilah-milah database ini butuh waktu dan kesabaran, namun saya pikir saya telah menemukan banyak informasi menarik yang saya ingin berbagi dengan Anda.
Jadi apa yang kita hadapi di sini? Tabel login_text memberikan beberapa konteks. Ini berisi pesan yang ditampilkan ketika pengguna login ke sistem. Teks ini mengungkapkan penggunaan yang tepat dari database ini. Berikut adalah ekstrak:
mysql> select TEXT from login_text;
“WELCOME TO THE JOINT KNOWLEDGE DEVELOPMENT AND DISTRIBUTION CAPABILITY (JKDDC) JOINT KNOWLEDGE ONLINE (JKO) PUBLIC PORTAL/LEARNING MANAGEMENT SYSTEM, A DEFENSE DEPARTMENT RESOURCE ADDRESSING INDIVIDUAL TRAINING NEEDS VIA DISTANCE LEARNING”
mysql> TEKS pilih dari login_text;
"SELAMAT DATANG BERSAMA DAN PENGEMBANGAN PENGETAHUAN KEMAMPUAN DISTRIBUSI (JKDDC) BERSAMA PENGETAHUAN ONLINE (JKO) PUBLIK PORTAL / BELAJAR SISTEM MANAJEMEN, Sebuah DEPARTEMEN PERTAHANAN MENANGANI KEBUTUHAN PELATIHAN SUMBERDAYA VIA INDIVIDU BELAJAR JARAK"
Dari teks ini kita belajar bahwa kita berhadapan dengan US Department program pembelajaran jarak jauh Pertahanan. Login teks melanjutkan:
“…the JKO portal provides access to Instant Messaging, Communities of Interest, and other Joint resources. To obtain a JKO portal account, please visit the JKO public site…”
"... Portal JKO menyediakan akses ke Instant Messaging, Komunitas Bunga, dan sumber daya Bersama lainnya. Untuk mendapatkan account Portal JKO, silakan kunjungi situs JKO masyarakat ... "
Dengan ini kita dapat melihat bahwa database tidak hanya digunakan sebagai Learning Management System, tetapi juga sebagai portal untuk sumber daya lainnya, layanan Instant Messaging dan juga merupakan Komunitas Online.
Teks juga mengungkapkan dua sumber informasi lainnya pembelajaran publik yang cukup mungkin juga rentan terhadap serangan yang sama yang satu ini. Mereka adalah:
https://jkolms.cmil.org/html/user/RedirectApplication.jsp
http://www.usfk.mil/webtraining/
Catatan lain yang menarik adalah ini:
“U.S. Department of Defense Students – Please ensure you include your Social Security Number (SSN) when registering for an account with the JKO LMS…”
"AS Mahasiswa Departemen Pertahanan - Mohon pastikan Anda menyertakan Nomor Social Security (SSN) ketika mendaftar untuk account dengan LMS JKO ... "
Pernyataan ini membawa saya ke tahap berikutnya dari penyelidikan - apa informasi pengguna pribadi dapat dikumpulkan dari database ini dicuri?
Tabel-tabel yang akan menjawab pertanyaan ini adalah: pengguna, user_extension, alamat, telepon dan USER_EMAIL.
Sebuah SQL query akan mengungkapkan beberapa semua.
Tabel user adalah titik awal saya.
Tabel pengguna berisi banyak informasi termasuk nomor jaminan tanggal lahir, jenis kelamin dan sosial. Setelah browsing data yang saya dapat melihat bahwa sebagian besar nomor jaminan sosial tidak valid dan pengguna pertama dan nama terakhir tidak digunakan. Kita juga dapat melihat beberapa sistem pengguna seperti sebagai sysadmin. Para pengguna memiliki nomor jaminan sosial yang aneh tampak seperti semacam passsword, namun saya tidak bisa memastikannya.
Ada lebih dari 74.000 pengguna di tabel ini. Sebagian besar entri diciptakan pada bulan Agustus 2010, namun beberapa catatan menunjukkan bahwa database ini tanggal kembali ke awal 2008. Satu catatan dimodifikasi Maret 2011 yang berarti bahwa database ini sedang digunakan sampai saat ini.
Jadi, di mana para pengguna dari? Tabel alamat harus memberikan kami informasi tersebut.
Tabel alamat matang dengan informasi. Ini memberikan alamat lengkap untuk setiap pengguna pada sistem. Menarik untuk dicatat berapa banyak negara ada. Saya menghitung 89 negara yang berbeda menggunakan perintah SQL berikut:
SELECT distinct `COUNTRY_CD` FROM `address` order by country_cd asc
Tabel ponsel tampaknya memiliki nomor telepon yang valid terkait dengan user ID. Namun itu hanya berisi hanya 350 catatan, sebagian besar yang tanggal kembali ke 2007, sehingga mereka mungkin catatan lama dari versi sebelumnya dari database.
Tabel user_extension berisi 70.500 record yang menjanjikan, namun juga gagal untuk mengungkapkan sesuatu yang menarik selain dari alamat email yang hilang di lautan NULLs.
Tabel lain yang menarik adalah satu disebut EMAIL_ADDRESS.Tabel berisi 84.000 catatan, namun beberapa dari mereka yang tercantum sebagai "NOEMAIL@JFCOM.MIL". Ketika alamat email ini adalah filered keluar saya pergi dengan 69.000 alamat email yang unik. Ini dapat dikaitkan dengan alamat mailing membuat mereka data yang sangat bagus ditetapkan untuk spammer, scammers dan phisher.
Berikut ini adalah output saya:
SELECT USER_ID, EMAIL_ADDRESS, CREATED_DATE FROM `email_address` Where email_address <> ‘NOEMAIL@JFCOM.MIL’ GROUP BY EMAIL_ADDRESS ORDER BY CREATED_DATE DESC
SELECT user_id, EMAIL_ADDRESS, created_date FROM `EMAIL_ADDRESS` mana EMAIL_ADDRESS <> GROUP 'NOEMAIL@JFCOM.MIL' BY ORDER BY EMAIL_ADDRESS created_date DESC
Sebagian besar data ini berasal dari situs militer, namun ada beberapa alamat email pribadi atau perusahaan juga. Menariknya nama lengkap orang tersebut peresent di alamat email-nya. Bar chart di bawah ini menunjukkan bagaimana mayoritas alamat email didistribusikan ke top-level domain.
Sejauh ini saya memiliki data ditambang informasi pribadi selama lebih dari tujuh puluh ribu personil militer, namun kelompok AntiSec menyebutkan 'harta karun' dari informasi yang akan memungkinkan mereka untuk menembus lebih jauh ke dalam jaringan miliaria lainnya.Saya memulung database untuk ini nugget, di sini adalah apa yang saya temukan.
Tabel password berisi 155.000 record containg password semua pengguna dalam database. Banyak pengguna menggunakan password yang sama pada beberapa situs, sehingga informasi ini bisa menjadi aset yang sangat besar untuk serangan potensial pada pengguna dan organisasi mereka. Anda dapat melihat screen shot dari password di sini:
Password dilaporkan dalam format: base64 (sha1 (password)). Jika ini benar-benar terjadi, maka semua password bisa diungkapkan oleh brute force. Hal ini dapat mengambil beberapa waktu untuk password terkuat, namun Anonim telah diminta bantuan dari masyarakat dengan menyediakan file untuk di-download dalam format yang mudah, dan memberikan link ke alamat email yang terkait. Selain itu, saya juga melihat banyak duplikat password, ini adalah indikasi bahwa password pengasinan tidak terjadi. Penggaraman merupakan teknik yang digunakan untuk memperlambat serangan brute force pada hash.
Satu meja yang sangat menarik adalah activity_log tersebut. Tabel ini log aktivitas pengguna online dan berisi informartion seperti alamat IP pengguna dan agen-pengguna nya, yang mengungkapkan sistem operasi dan browser web yang dia gunakan. Informasi ini membuat serangan yang ditargetkan jauh lebih mungkin.
Seperti yang Anda lihat, beberapa alamat IP adalah alamat internal, beberapa login juga tampaknya dari mesin lokal. Login adalah sebagai akhir bulan April 2011, yang berarti bahwa daftar password sangat 'segar'. Browser dan sistem operasi juga informasi yang berharga untuk hacker. Ini disheartenining untuk melihat browser Internet Explorer begitu banyak digunakan.
Beberapa alamat IP publik lainnya juga dimiliki oleh Booz Allen sendiri:
Dalam semua, aku menghitung lebih dari 47.000 alamat IP yang unik dengan menggunakan perintah SQL berikut:
SELECT COUNT( DISTINCT ip_address ) FROM `activity_log`
SELECT COUNT (DISTINCT ip_address) FROM `activity_log`
Alamat IP lain yang datang dari seluruh tempat. Aku mengambil segenggam dan menemukan mereka datang dari lembaga DoD diffrerent didistribusikan di seluruh Amerika.
Selain informasi kepegawaian, saya juga bisa menemukan data lain dalam beberapa tabel lain-lain. Data ini semua bisa digunakan untuk hacking ke jaringan lebih lanjut pemerintah.
Para application_owner Tabel berisi daftar target berikutnya mungkin dari AntiSec, karena ini semua kontributor ke LMS.
Beberapa organisasi lebih dapat diperoleh dari tabel mil_quota_source_node. Sebanyak 134 lembaga yang berbeda dapat diidentifikasi dari tabel ini.
Akhirnya, saya melihat tabel user sistem di mana saya menemukan sebuah bit lebih sedikit berair. Host, username dan password hash yang tampaknya tawar (perhatikan hash yang sama tercantum dua kali.)
Putusan
Aku berangkat pada penyelidikan ini untuk menentukan apakah AntiSec hanya menggertak, dan apakah Booz Allen benar untuk mengecilkan insiden itu. Firasat awal saya adalah bahwa sekelompok remaja sedang membuat berita utama lagi karena beberapa data konyol bahwa mereka berhasil mengikis beberapa situs penuaan.Saya bisa saja tidak lebih jauh dari kebenaran.
Hal ini jelas bahwa ini bukan pelanggaran kecil. Angka-angka semata username, password dan alamat email, bersama dengan nama host, alamat IP, pengguna-agen dan nama pengguna internal membuat ini terlihat hack seperti awal dari gelombang lebih besar dari serangan yang akan memukul pemerintah Amerika dalam beberapa bulan mendatang.
Penutupan
Untuk menyimpulkan Saya ingin langsung mengutip motto Anonim.Motto mereka tidak pernah takut, namun karena saya melihat lebih ke dalam pekerjaan kelompok ini aku mulai merasa lebih dan lebih nyaman. Haruskah kita akan mengambil ini anarkis lebih serius?
“We are Anonymous.
We are Legion.
We are Antisec.
We do not forgive.
We do not forget.
Expect us.”
We are Legion.
We are Antisec.
We do not forgive.
We do not forget.
Expect us.”
"Kami Anonim.
Kami Legiun.
Kami Antisec.
Kami tidak memaafkan.
Kami tidak lupa.
Mengharapkan kita. "
Artikel Dilindungu (berasal dari Web Resmi #International)
Jika ingin mengcopy sertakan alamat blog ini.
by Rafi Aldiansyah Asikin