avva | тысячерукий хакер

Любопытное развитие событий в истории о поддельных сертификатах, о которой я писал пару дней назад. На pastebin.com появилось сообщение от человека, который берет на себя ответственность за этот взлом. Оно написано на ломаном английском, и полно забавного бахвальства -

I'm not a group of hacker, I'm single hacker with experience of 1000 hackers, I'm single programmer with experience of 1000 programmers, I'm single planner/project manager with experience of 1000 project managers, so you are right, it's managed by a group of hackers, but it was only I with experience of 1000 hackers.

Если верить этому хакеру, он действительно живет в Иране, но не имеет отношения к властям.

Подробный рассказ о том, как он взломал Комодо (точнее, партнера Комодо), выглядит убедительными, особенно в сочетании с примерами кода в дополнительных посланиях (ссылки в конце этого). Комодо пока что не подтвердила и не опровергла, как я понимаю. Запись в блоге Wired подробно анализирует аргументы за и против того, что послание действительно написано настоящим хакером - например, какие из рассказанных в нем подробностей можно было и так найти на основании уже известных данных. В конце концов они приходят к выводу, что видимо письмо настоящее, и скорее всего правы. Замечу только еще одно обстоятельство, которое они не упоминают: подозрительно то, что автор письма приводит много разных объяснений и доказательств того, что это действительно он, но не приводит самое просто доказательство: подписать какой-то текст секретным ключом одного из подделанных им сертификатов. Такую подпись можно было бы легко проверить, и никто, кроме хакера (и может быть самой Комодо) не смог бы это сделать.

Предположим, что письмо настоящее, а не чей-то умелый троллинг или попытка запутать следы; все равно, конечно, может быть, что его автор делал это по заданию иранских властей, а не по своей инициативе, как он пишет. Но в целом я должен согласиться с критикой многих комментаторов к моей прошлой записи: я слишком охотно назвал наиболее вероятной версией то, что это иранские власти. Для уверенности в этом просто слишком мало данных. Одна из причин, по которой мне легко было согласиться с этим мнением самой фирмы Комодо - это то, что подделка именно этих сертификатов особенно полезна для правительства, контролирующего весь доступ к Интернету в данной стране. Ему тогда легко организовать MITM (man-in-the-middle attack, атаку, позволяющую читать чужую почту итд.), а отдельному хакеру - сложнее, и надо работать отдельно над каждой 'жертвой'. Но отнюдь не невозможно.

Flat | Top-Level Comments Only

From:

nec-p1us-u1tra.livejournal.com

Этот слог мне что-то напоминает. А, вот:

Ты перехетрил всех хитрых хитрецов,
Сотворил солнце, небо и луну
Поистине, нет тебе противника!

(с) Гимн Индры, цитируется по памяти

From:

geneus.livejournal.com

Я не совсем понял, что специфически иранского в этой истории?

Пароли рабоают только в зоне Ирана или просто хакер был в иране?

В любом случае это - клад для любой банды сетевых мошенников.

По google-mail и yahoo-mail сотни тысяч людей получают пароли на свои счета на банковских и других финансовых сайтах.
перхватил пару паролей состоятел+ных людей - и ты богатый человек.

From:

avva.livejournal.com

IP-адрес, с которого шел взлом, находится в Тегеране (что само по себе не доказывает еще ничего), и сам хакер, если это действительно он, подтверждает, что он в Иране.

Больше ничего специфически иранского нет, эта атака с тем же успехом работала бы из любого другого места.

From:

vnarod.livejournal.com

Ну и что Вы сделаете с чужим паролем от банка? Так чтобы Вас потом не нашли? Куда деньги не переводите, их отследить проще простого. Да и банк не переведёт крупную сумму без подтверждения.

From:

geneus.livejournal.com

100 старушек - 12 миллионов
http://avva.livejournal.com/2323076.html?thread=78015876#t78015876

From:

costezzo.livejournal.com

*По google-mail и yahoo-mail сотни тысяч людей получают пароли на свои счета на банковских и других финансовых сайтах.
перхватил пару паролей состоятел+ных людей - и ты богатый человек.*

1. Перехватить пароль, посланный на гмаил.
2. ???
3. Профит

Дело, как всегда, за малым.

From:

geneus.livejournal.com

100 старушек - 12 миллионов
http://avva.livejournal.com/2323076.html?thread=78015876#t78015876

From:

stas

Кражей пароля разбогатеть нельзя, если только делающий это - не член крупного преступного синдиката с разветвлённой сетью курьеров. Мошеннические банковские транзакции откатываются на раз, и если не успеть перетащить деньги куда-нибудь в Нигерию и там обналичить (в этом случае попадает последний, у кого лежали деньги на счету, или его банк), то результатом будут лишь неприятности.

From:

geneus.livejournal.com

Почему крупного?

Даже небольшие банды могут на этом достаточно нажиться.
Достаточно найти старушку, у которой выманить/выменять ее банковскую карту и реквизиты.
Потом со всех счетов, от которых есть пароли, перевести ей деньги и тут же за пару дней снять.

У моей знакомой старушки в США таким образом какие-то русские перевели через счет 120 тысяч долларов. Причем кто так и не узнали и не расследовали даже. Она ничего не потеряла, но ее счет был долгое время заморожен.

100 старушек - 12 миллионов.

From:

vnarod.livejournal.com

Как именно снять? Через ATM? Там лимит в $800/день. Или в банк прийти и прикинуться старушкой?

From:

costezzo.livejournal.com

*Потом со всех счетов, от которых есть пароли, перевести ей деньги*

...и сидеть, глупо улыбаясь, когда сайт банка спросит, например, грид-карту.

From:

stas

За пару дней снять 120 тысяч? Через как? Ни один банк не выдаст 60 тысяч со счёта наликом без проверок. Переводы же откатываются.
Т.е. пропускная способность системы органичена временем, в течение которого обнаруживается мухлеж, количеством денег, которые можно обналичить зараз без обнаружения, и количеством мулов, которые этим занимаются. Последний параметр как раз и требует для обогащения (если под обогащением не считать 1000 долларов, конечно) достаточно крупной организации.

From:

vnarod.livejournal.com

Удивительно, что когда хакеры такого уровнй нужны для какого-нибудь проекта, их найти невозможно. Такое впечатление, что они существуют только в виртульном мире.

From:

vnarod.livejournal.com

И я не очень понял смысла этого взлома. 99% людей, войдя в гмайл и увидев экран "SSL не подтверждён" просто нажмут "продолжить" и вообще не будут вникать что там написано.

From:

crazy-blu.livejournal.com

Оставшийся один процент подтвердит новый сертификат от SSL-proxy, считая что на гмайл поменяли сертификат и просто его надо обновить :) Особено ценно, если сертификат приезжает самоподписанный (псевдо-рут) :) Не надо ломать никого... :) ОЧЕНЬ мало кто читает поле Issuer сертификата, поле Subject то читают единицы... :)

From:

stas

Смысл в том, что сертификат будет подтвержден - он подписан одним из CA, зашитых в браузере. Разумеется, сейчас в новых версиях браузеров эти сертификаты убили, но куча народу пользуется старыми версиями.

From:

vnarod.livejournal.com

Это понятно. Непонятно, зачем столько усилий ради этого подтверждения, если всё равно почти все спокойно проигнорируют предупреждение

From:

stas

Проигнорируют 90%, а 10% заметят и могут раздуть шум. А так отличить настоящий сайт от ненастоящего невозможно.

From:

vnarod.livejournal.com

Вам когда-нибудь приходило в голову, увидев подобное предупреждение, поднимать шум? Сомневаюсь, что кому-то придёт

From:

stas

Eсли я получу его от Гугля - придет.

From:

stas

Очевидно, что правдивое описание подробностей взлома никак не влечёт правдивость любых других утверждений индивидуума, в том числе и о том, что он из Ирана, и о том, что он совершил этот взлом сам, и о том, замешаны или нет власти Ирана.
Забавно, кстати, тут то, что полагаясь на правдивость одной части сообщения в определении правдивости другой, мы совершаем ту же ошибку, что и система безопасности Комодо, которая из того, что некто знал пароль их партнёра сделала вывод, что этот некто и является этим партнёром и имеет право выдавать сертификаты на mail.google.com.

From:

digest.livejournal.com

I'm talking to the world, so listen carefully

Действительно забавный тип :)

А вот за такое:

this.url_nos = "https://secure.comodo.net/products/";
this.login = "gtadmin";
this.password = "TRIMMEDIT";

Комодо надо просто убивать...

From:

trueblacker.livejournal.com

безопасность гугла обеспечивается паролем из 9 загланых латинских букв. Это прекраснор, ящитаю. Комодо нужно показательно посадить на кол или человечество обречено

From:

digest.livejournal.com

Угу. Если это не фэйк (что тоже может быть), то все приличные браузеры должны немедленно выбросить комодовские рут-сертификаты из списков. Они мне давно не нравились со своей валидностью до 2030 года, но использование хардкодед пароля ТАКОЙ сложности переходит все границы. Респектабельная Certification Authority с паролем на бумажке, приклеенной к монитору, в натуре.

From:

stas

А пароль 6661 у админа сайта mysql.com (который недавно поломали, oh irony, через sql injection) и по совместительству product managerа всего mysql ? Это ж просто праздник какой-то.

From:

digest.livejournal.com

Да уж...
Ну поэтому Комодо и certificate authority, а не просто сайт. У них пароль на целых 5 буквоцифр длиннее. Профессиионалы!

From:

trueblacker.livejournal.com

>Такую подпись можно было бы легко проверить, и никто, кроме хакера (и может быть самой Комодо)

этот прелестный комодо ещё и личные ключи депонирует? То есть можно ожидать в ближайшем будущем не только липовые сертификаты, но и увод личных ключей реальных сертификатов гугла?
Я фалломорфирую, извинити.

From:

digest.livejournal.com

Реальные сертификаты нельзя "увести" без знания личного ключа подписывающего. Так что относительно скомпрометированы только подписи Комодо. А кул хацкер, Говорящий с Миром, мог подписать свое сообщение личным ключом липового сертификата, который он получил на имя mail.google.com

From:

trueblacker.livejournal.com

я о предположении avva о том, что такую подпись мог бы выработать и Комодо.
Каким образом ?

From:

digest.livejournal.com

Хакер воспользовался API на получение сертификата, а не украл личный ключ Комодо. Вполне может статься, что у Комодо осталась копия сгенерированного личного ключа выписанного липового сертификата, то есть Комодо теоретически тоже может подписать что-либо этим липовым сертификатом.

From:

trueblacker.livejournal.com

следовательно, если гуглу (настоящему) и раньше в комодо выдавался сертификат, значит, у этих прелестных людей точно так же может быть и личный ключ реального гуглосертификата. Защищённый Надёжным Паролем, разумеется.

From:

digest.livejournal.com

Теоретически да. На практике CA должны соблюдать жесткие guidelines, запрещающие хранение личных ключей где-либо, кроме специального хардвера, иначе они не попадут в браузерный список trusted CAs.
Еще возможна генерация ключа самим клиентом (для сертификата, подписи и внешнего мира нужен public key, а на личный), тогда личный ключ нигде гулять не будет. Правда, простые API могут работать только с полями сертификата, а не парами ключей (я в детали этого комодовского api не всматривался).

From:

trueblacker.livejournal.com

я обо всём этом в курсе, спасибо.
Я говорю о предположении avva и только. Ну и о том, какая прелестная у этого комода политика безопасности. Если сложить эти вещи, мой верхний комментарий, полагаю, станет понятен.

From:

avva.livejournal.com

Ну, я не думаю, что у Комодо остались на самом деле приватные ключи, просто упоминаю это как гипотетическую возможность. Кроме того, полагаю, что настоящий сертификат Гугля создан не у них (не проверял).

From:

trueblacker.livejournal.com

я тоже так не думаю. Но, предположил, что у меня значительно меньше оснований для мнения чем у гуглосотрудника :-)

From:

avva.livejournal.com

Наверное, не излишне на всякий случай упомянуть, что я в этом вопросе (или любом другом) ни в коем случае не представляю Гугл и вообще не имею никакого отношения к работе над SSL, сертификатами итп.

From:

dmarck.livejournal.com

Нынешний Gmail'овый подписан Thawte

А вот secure.google.com -- собственным CA, который подписан ГеоТрастом, хихи.

Edited Date: 2011-03-29 01:49 pm (UTC)

From:

trueblacker.livejournal.com

такая солидная контора как гугл может себе позволить несколько разных сертификатов на одно доменное имя на разных физических серверах.
Впрочем я не спору для, а разъяснения ради.

From:

digest.livejournal.com

У сертификата gmail-а ноги растут из верисигновского Class 3 CA. Которым правильные пацаны подписывают :)

From:

stas

Настоящий сертификат гугля на google.com подписан гуглем :) Который, в свою очередь, подписан Euqifax. А вообще там в списке рутов столько народу развелось, оказывается...

From:

sinm.livejournal.com

Он же сам пишет: "I got FULL access on the server", а как именно - не пишет (а это самое интересное для расследования). Так что дело только в том, что у безымянного итальянского админа две очень кривые руки. Да и в Комодо молодцы - если уж так доверяли хосту, то почему не проверяли? Если кто-то говорит в духе "At first I decided to hack RSA algorithm", то ежу понятно, что от такого "хакера" спасло бы тупое сканирование нессусом.

From:

cat_mucius

Замечу только еще одно обстоятельство, которое они не упоминают: подозрительно то, что автор письма приводит много разных объяснений и доказательств того, что это действительно он, но не приводит самое просто доказательство: подписать какой-то текст секретным ключом одного из подделанных им сертификатов. Такую подпись можно было бы легко проверить, и никто, кроме хакера (и может быть самой Комодо) не смог бы это сделать.

Он сделал проще: опубликовал секретный ключ для сертификата addons.mozilla.org, s/n ‎00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43.
Проверил, работает - это действительно от него ключ. Похоже, места для сомнений не осталось.

From:

avva.livejournal.com

Ага, спасибо.

From:

cat_mucius

Скопирую на случай, если вдруг уберут:

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----