Y la historia se repite...
Infohackers ya ha pasado por esto antes, así que no les vendrá de nuevo. Para lo que les podrá servir es para darse cuenta que no tienen ni puta idea de seguridad informática. La última vez trataron de justificarse con cosas como... 'usaron un 0day y contra eso no hay nada que hacer' o 'el servidor no lo administramos nosotros'... Pero esta vez... esta vez... Veamos... Llegó el momento de contar la verdad.
1. La gente de Infohackers no tiene NI IDEA de seguridad informática, como ya se ha demostrado en más de una ocasión (comentarios, acusaciones y demás).
2. No son expertos en NADA apesar de que acudan a eventos tratando de representar la comunidad hacker.
3. Algunos de sus miembros (los cabecillas) son unos aprovechados que sólo buscan hacer dinero. Un ejemplo claro puede ser el intento de Carlos Mesa por hacerse con el dominio caixadelpenedes. Ademas lo grita orgulloso a los 4 vientos, y claro, luego vienen las denuncias.
4. Nadie en la scene (y cuando hablo de la scene me refiero a los grupos que llevan tiempo en esto y han demostrado sobradamente lo que valen) apoya esta asociaon que, pese a que dice que no, trata de representarlos. Se puede leer en este manifiesto conjunto.
Visto esto, y con puntualizaciones bien claras, supongo que ya ha quedado claro el tipo de gente que son estos de A.I.H. Ahora lo que estabas esperando... La dibersión.
Aquí tenemos las IPs de los administradores; Shaolin, conde y woden. Qué interesante! O:-)
bash ~# cat /etc/hosts
127.0.0.1 localhost
216.194.66.103 www.infohackers.org # main interface
216.194.66.0 tera-broadcast
216.194.66.103 tera-fw
80.33.158.50 shaolin
213.97.49.211 conde
80.34.189.254 woden
213.201.0.70 conde2
212.78.132.110 conde3
bash ~#
Por lo visto, sólo conde y shaolin realizan tareas administrativas. Shaolin suele usar sesiones SSH para ello (aunque es un poco cazurro... puedes estar junto a él en la máquina y no se entera), mientras que conde suele usar el Webmin (hace login como 'hackan', pero esa IP apare en el /etc/hosts como Conde.
bash ~# w
3:20pm up 15 days, 43 min, 2 users, load average: 0.05, 0.44, 0.53
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
admin pts/0 shaolin 2:38pm 33.00s 1.15s ? -
admin pts/1 shaolin 2:48pm 12:23 0.38s ? -
bash ~# tail /var/log/wemin.log
Feb 22 19:37:44 www webmin[4115]: Logout from 213.97.49.211
Feb 22 21:49:36 www webmin[9902]: Successful login as hackan from 80.33.158.50
Feb 23 00:44:18 www webmin[19421]: Successful login as hackan from 80.33.158.50
Feb 23 19:54:01 www webmin[7893]: Successful login as hackan from 213.97.49.211
Feb 24 01:40:50 www webmin[25287]: Logout from 213.97.49.211
Feb 24 01:48:52 www webmin[25726]: Successful login as hackan from 213.97.49.211
Feb 24 01:58:10 www webmin[26304]: Logout from 213.97.49.211
Feb 24 18:11:42 www webmin[5844]: Successful login as hackan from 213.97.49.211
Feb 25 00:16:09 www webmin[32623]: Successful login as hackan from 213.97.49.211
Feb 25 00:24:28 www webmin[583]: Logout from 213.97.49.211
bash ~#
Vaya... Porque entrará Shaolin con la cuenta 'admin' teniendo una cuenta propia. Curioso, quizá porque lo de 'admin' impone más al hacer un 'who'?
bash ~# cat /etc/passwd
root:x:0:0:Root:/root:/bin/bash
bin:x:1:1:bin:/bin:/dev/null
daemon:x:2:2:daemon:/sbin:/dev/null
adm:x:3:4:adm:/var/adm:/dev/null
lp:x:4:7:lp:/var/spool/lpd:/dev/null
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/dev/null
news:x:9:13:news:/var/spool/news:/dev/null
uucp:x:10:14:uucp:/var/spool/uucp:/dev/null
httpd:x:15:11:httpd:/etc/httpd:/dev/null
pop:x:17:17:APOP:/etc:/dev/null
named:x:25:25:Named:/etc/named:/dev/null
postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
sshd:x:74:74::/var/empty/sshd:/dev/null
pcap:x:77:77::/var/arpwatch:/dev/null
nobody:x:99:99:Nobody:/:/dev/null
admin:x:110:27:Administrator:/home/sites/home/users/admin:/bin/bash
mysql:x:111:112:MySQL server:/var/lib/mysql:/bin/bash
shao:x:500:500::/home/shao:/bin/bash
bash ~#
De todos es sabido que InfoHackers siempre ha ido contra la censura... pero entonces... ¿Porque censuran ellos? Lo han hecho en el foro evitando los post anónimos e incluso borrando los que no les gusta. Pero, además... mirad esto sacado de las fuentes del PHPNuke.
$CensorList = array("fuck",
"infojuaker",
"infojuakers",
"infojuankers",
"pussy",
"cock",
"c0ck",
"cum",
"twat",
"clit",
"bitch",
"fuk",
"fuking",
"motherfucker")
Pero claro... además de censores son grandes expertos en seguridad. Hasta se revisan los PHPs que colocan en su web! Mirad lo que se podía leer en un mail de Shaolin a Conde.
Carlos,
me he estoy revisando varios php, por ahora solo miro los que hacen exec o
los que ejecutan consultas mysql.
ya te contare los resultados.
Y logean los ataques que reciven! Ay Dios! Me han pillado. ¿Cuánto tiempo me queda de vida?
bash ~# tail /home/log/httpd/attack_log
[10/Jan/2003:03:38:11 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 302 -
[10/Jan/2003:20:20:25 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 302 -
[13/Jan/2003:05:46:29 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir" 302 -
[13/Jan/2003:09:17:02 +0100] "GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir" 302 -
[13/Jan/2003:12:43:45 +0100] "GET /scripts/root.exe?/c+dir HTTP/1.0" 302 230
[13/Jan/2003:12:43:48 +0100] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 228
[13/Jan/2003:12:43:52 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 238
[13/Jan/2003:12:43:52 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 238
A todo esto... Estais intentando atacar a Telefónica y www.nabss.org?
bash# ls
62.83.168.166.intruso.nmap me.nikto www.nabss.org.nmap
bash# cat www.nabss.org.nmap
Starting nmap V. 3.10ALPHA9 ( www.insecure.org/nmap/ )
Interesting ports on www.nabss.org (62.73.163.64):
(The 2088 ports scanned but not shown below are in state: filtered)
Port State Service
21/tcp open ftp
25/tcp open smtp
53/udp open domain
80/tcp open www
110/tcp open pop3
443/tcp open https
554/tcp open unknown
590/udp open unknown
620/udp open unknown
653/udp open unknown
759/udp open unknown
1024/tcp open unknown
3306/tcp open mysql
Nmap run completed -- 1 IP address (1 host up) scanned in 154.678 seconds
bash# cat .timo-proxy.nmap
Starting nmap V. 3.10ALPHA9 ( www.insecure.org/nmap/ )
Interesting ports on 42.Red-80-58-33.pooles.rima-tde.net (80.58.33.42):
(The 1097 ports scanned but not shown below are in state: filtered)
Port State Service
8081/tcp open tproxy
Nmap run completed -- 1 IP address (1 host up) scanned in 928.346 seconds
Ahora, antes de que Infohackers empiece a contar mentiras unas palabras para que TODO quede muy claro.
1. No pertenezco a Hispahack ni tengo relación con ellos.
2. No trabajo en S21sec, ni tengo ganas de trabajar en una empresa tan cutre que engaña a la gente y no sabe ni montar un wargame decente(*).
3. Ni Telefónica, ni Microsoft, ni nadie me ha pagado por hacer esto (se ha de ser muy egocéntrico para pensar que Telefónica movería un dedo por vosotros).
4. Ha quedado claro que el servidor lo administrais vosotros. No un proveedor. No un ampresa contratada. Vosotros!
5. Para hacer esto no he usado un 0day ni nada que se le parezca, solo bugs públicos, y algunos datan del 2002.
Y como toda historia, debe haber una conclusión y una moraleja.
CONCLUSIÓN: No sois hackers, no sois expertos en seguridad, no sois nada, la scene no os apoya, la gente no está con vostros.
MORALEJA: No es malo ir detrás del dinero(*2), pero timar no es una opción ética.
(*) Parecía difícil que la segunda edición de hack21 fuera peor que la primera, pero lo fue. Este año fue patética. Pruebas mal diseñadas, como un ZIP con una contraseña de 8 carácteres, una fuga de datos personales que anunció alguien en el foro y que la empresa no ha desmentido, y un ganador de lo más rastrero como es Mandingo, que de experto en seguridad no tiene NADA.
(*2) En referente a vuestro lucido artículo lleno de mentiras 'hackers de noche capitalistas de día'.
