Cuando Aaron Barr dijo esto en público, la respuesta de Anonymous fue rápida y humillante, muy humillante. Rompieron la seguridad de los servidores de HBGary, obtuvieron la base de datos y la publicaron, borraron datos, y modificaron su página web. Como bonus, gracias a los datos obtenidos de este hackeo, atacaron un segundo sitio, propiedad de Greg Hoglund, al igual que HBGary.
Pero, ¿cómo fue este ataque? Al tratarse de una famosa empresa de seguridad, la mayoría de vosotros pensareís que tuvo que ser difícil, con métodos complejos y uso de varias herramientas, ¿no? Pues estáis equivocados.
La página de HBGary Federal usaba un Sistema de Gestión de Contenidos (CMS, Content Management System) bastante pobre en lo que se refiere a seguridad, y con un código que no es precisamente el mejor: CMSes. El ataque fue muy, pero que muy sencillo: Una Inyección SQL. Si, alucinante, una empresa supuestamente experta en seguridad, y en su web tenía uno de los errores más comunes en cualquier web, que puede comprometer un servidor entero.
Bueno, con una vulnerabilidad de Inyección SQL en sus manos, Anonymous atacó la página y salió victorioso.
ACTUALIZACION:
La respuesta a esta noticia de parte de un miembro de Anonymous:
Esa es la mitad de la historia. Tenés que agregarle cómo: una nena de 14 años le hizo ingeniería social al administrador de rootkit.com.Obtuvimos root de todos los servidores, interceptamos llamadas, le hackeamos el Twitter de Aaron Barr y le borramos remotamente el Ipad de Aaron Barr.Le obtuvimos su dox (información privada) y lo twitteamos desde su propia cuenta.
Y como si fuera poco, tenemos las copias de todos los exploits 0-days y troyanos que estas companías programan, analizan y venden por millones de dolares al gobierno y a otras empresas de seguridad.
Esto es lo que sucede cuando se meten con Anonymous.
Pero hay una cosa muy importante que aclarar.
Esto no fue un trolleo "for the lulz" (no únicamente). Esto fue una acción directa ante la pretensión de que "había penetrado Anonymous" y que había supuestamente identificado los nombres reales de la "cuspide" de Anonymous.
Cuatro puntos importantes a considerar:
1) Naturalmente, obtuvimos la lista que Aaron Barr había supuestamente recopilado sobre nosotros y era absolutamente basura.
Si Aaron Barr hubiera entregado esa lista a la FBI, muchos inocentes que no tienen nada que ver hubieran terminado en la cárcel.
2) Anonymous no tiene líderes y no tiene estructura.
3) Publicamos la lista de Aaron Barr online por dos razones: para demostrarles al público y al FBI que esa lista es inútil y para que no la Aaron Barr no la pudiera vender.
4) No somos "una bandita de adolescentes que sólo saben usan LOIC". No todos somos adolescentes, ni todos sólo saben usar LOICs.
No hay comentarios:
Publicar un comentario