16 junio 2009

Hackeos memorables: Chaos Computer Club

Noviembre, año 2004. Todos los inscritos al congreso chaos computer club reciben un correo electrónico de la organización, en el que se disculpan por "haberla pifiado" con los datos de registro, ya que un grupo de colegas españoles ha roto la seguridad de sus sistemas accediendo a esta información y publicándola en Internet.

Dear Camp attendee,

we are sorry to say that we fucked up handling your data provided for
the organization of the Chaos Communication Camp correctly. When the
registration system was shut down after the camp in 2003, an unencrypted
backup copy of the registration data was unfortunately left on the machine.

The server has been used for hosting another TWiki installation after
the camp, but the organization crew left planet earth due to
extraterrestrial commitments and more or less forgot about its existence.

Our spanish colleagues succesfully broke into this machine, exploiting a
newly found bug in the TWiki software, and published part of the stuff.
This includes personal registration data as well as crypt passwords for
Wiki users. While the passwords are not available in clear text, they
are susceptible to a dictionary attack. Therefore, these passwords must
be considered compromised, so we urge anybody who used the same password
for camp registration or TWiki and any other system to take appropriate
measures.

Please carefully check the data provided at
http://www.digitalsec.net/stuff/fun/CCC/ccc_and_cccs.txt.

We contacted the crowd at digitalsec.net and asked them to remove all
personal data from their publicly available documentation. They reacted
very kindly and dropped read permissions for the database dump. We
apologize for the inconvenience and promise to do our best to avoid
such bullshit in the future. Thank you for your attention and do not
forget to apply appropriate security measures.


sigh,

the CCC Crew


En 2004 digitalsec o !dSR (http://www.digitalsec.net, ahora no disponible), es (era?) uno de los grupos españoles que apoyan el proyecto mayhem (pr0j3ct m4yh3m), o por lo menos algunos de sus miembros. Este proyecto tiene por misión ridiculizar a los whitehats, todos los que quieran ganar dinero con la industria de la seguridad y todo aquella que la rodea mediante la penetración de sus sistemas, ya sea a grandes compañías del sector, de personalidades con cierto nombre internacional o de grupos de hacking como en este caso.

Mediante la modificación del perfil Benjamin Schweizer, miembro del CCC, !dSR publicaba la intrusión que había cometido con todo tipo de detalles en un archivo que aún puede ser consultado: ccc_hack.ccc_and_cccs.txt. Posiblemente el txt que más WTF provocó ese año en el Chaos Computer Club.



dn: cn=emerson,ou=accounts,o=ccc,c=de
userpassword: {crypt}77nsflOsZCfKE
cn: emerson
email: emerson@packetstormsecurity.org
realname: Emerson Tan
equipcomputer: 0
departuretime: -1
engeltype: kitchen
telephone: +44 781 456 8265
accommodation: camping
transporttype: spaceship
equipwavelan: 0
village: hackcenter
birthyear: 1975


En este documento se muestran datos de todos los colores: configuración de la VPN, bastantes credenciales del sistema, y lo más doloroso: un backup del LDAP que contenía los usuarios del los participantes en el congreso, sus correos y su contraseña.

Según se supo más adelante, digitalsec había conseguido un 0day del software TWiki, que corría sobre los sistemas del CCC, que les permitía ejecución remota de comandos.

Hans Ulrich del CCC, tras realizar un forense a los sistemas publicó la vulnerabilidad atribuyéndosela como suya. No fué hasta ese momento que Román Medina reaccionó y explico en un amplio correo (para variar) que el la había descubierto unos meses antes y publicado el exploit en un reducido grupo de personas de donde se habría filtrado. Incluso el propio autor de TWiki confirmó que Román le había notificado la vulnerabilidad unos días antes.

El bug se encontraba en el buscador de la aplicación, el cual componía un comando ejecutado mediante "``" con los datos introducidos por el usuarios sin previa validación.

doesnotexist1'; (uname -a; id) | sed 's/\(.*\)/__BEGIN__\1__END__.txt/'; fgrep -i -l -- 'doesnotexist2

Nadie se libra y este caso, como muchos otros, le hace a uno reflexionar cuantos sitios habrán sido penetrados por hackers y cuantas vulnerabilidades no públicas existirán...

Hace frio ahí fuera.

12 comments :

Anónimo dijo...

Que malo Romansoft

r0xSoFT dijo...
Este comentario ha sido eliminado por el autor.
Anónimo dijo...

¿Cómo puedes llamar a esos actos delictivos "hacking"? ¿Acaso este blog, o sus integrantes, apoyan ese tipo de actos?

No os conozco, pero yo diría que tenéis cierta simpatía por los crackers que cometieron ese acto delictivo en CCC.

En fin, me parece muy serio que un medio de información como este, que de momento llevaba una buena trayectoria entre a ensalzar acciones que manifiestamente son delictivas, comprometen la privacidad y la seguridad de los datos de muchas personas, y dan un cierto aire romántico a algo que no deja de ser un delito informático.

Alejandro Ramos dijo...

@Anónimo, no apoyamos la intrusión a sistemas ilegalmente, es un delito y debe ser perseguido y penado.

Imagino que Spielberg, judio, no estaba a favor de los nazis cuando dirigió "la lista de schindler", pese a que es un biopic de un nazi.

No me gustaría entrar en lo que es y no es hacking, personalmente creo que es el acto de un hacker, y por lo tanto, hacking. Para mi, cracker es el que hace ingeniería reversa y cracks.

Un abrazo y gracias por tu crítica.

Anónimo dijo...

"¿Cómo puedes llamar a esos actos delictivos "hacking"?"

Esque eso es un hack, otro tipo de actividades podrán ser pen-test o vulnerability assesments etc.. pero hackear es entrar en sistemas generalmente de forma delictiva.

Y crackers es lo que comenta Alejandro Ramos, desproteger programas y reversing.

Por otra parte la gente del CCC no se lo tomó para nada mal, puesto que las intenciones no fueron destruir sus sistemas ni causarles ningún mal, las únicas modificaciones que se hicieron fueron para borrar rastros de ip y dejar alguna marca.. Además se colaboró con ellos para que solucionaran el problema y se eliminó la base de datos con las contraseñas de los asistentes del camp tan pronto lo pidieron.

Si hubiera habido mala intención se podrían haber usado esas cuentas para atacar a los asistentes, pero no se hizo. Y se hubier permanecido en las máquinas del CCC pasando desapercibidos para realizar un ataque más severo.

Finalmente si eres una institución autoproclamada pro-hacker y tienes infraestructura en internet esta dentro del juego y estás expuesto a que te pase este tipo de cosas. Don't hate the playah, hate the game ;-)

LsW @ !dSR

Anónimo dijo...

From: "Harald Welte" ***@berlin.ccc.de
To: **@digitalsec.net
Cc: *@berlin.ccc.de **@berlin.ccc.de; ***@ccc.de;
***@berlin.ccc.de
Sent: Thursday, November 11, 2004 11:55 PM
Subject: [!dSR-staff] CCC blackhole.camp.ccc.de hack

Hi!

First I'd like to congratulate you on behalf of the CCC Berlin e.V. to
opening our TWiki on blackhole.

However, we would really appreciated if you could remove the address
data from your public website.

It's cool and nice that you hacked one of our boxes. Publicizing
address data of several houndreds attendees however, is not going to
help the hacker community at all.

Please, take credit for hacking blackhole and make it public, but please
don't make innocent people suffer by exposing personal data.

Thanks, Happy Hacking and Cheers,

Harald Welte

--
- Harald Welte http://www.gnumonks.org/

Anónimo dijo...

Vaya, parece que DSR still alive y además visita este blog ... ;)

Anónimo dijo...

Saludos se puso un poco caliente este post no? jeje bueno alcomentario de este post:

¿Cómo puedes llamar a esos actos delictivos "hacking"? ¿Acaso este blog, o sus integrantes, apoyan ese tipo de actos?

Para mi y digo para mi, esta bien el post aqui expuesto ya que lo que se esta haciendo es sencillamente informar y le agradesco a Security By Default por la informacion, nos damos cuenta que nadie esta a salvo de vulnerabilidades sea por utilizar sistemas propios o de terceros, tambien estoy de acuerdo en llamar Hacker a esto ya que se ingreso, se andubo y ninguna modificacion mal intencionada y con respecto de la terminologia Cracker es la persona que estudia protecciones e ingenieria inversa,coincido y a los actos delictivos son simplemente "Piratas Informaticos"

"Que la informacion sea libre por los siglos de los siglos, Amen"

Es mi humilde opinion

Anónimo dijo...

@LsW
"pero hackear es entrar en sistemas generalmente de forma delictiva."

No estoy de acuerdo. Para hackear o ser un hacker no es necesario entrar en sitios de manera ilegal.Ni ha de ser lo general. Mal iríamos.

Newlog

Anónimo dijo...

Bueno sobre ese tema hay muchos puntos de vista, el mio es semejande al de LsW, los hackers hackean y el resto realizan otras actividades con otro nombre diferente, EJ:

* buscar vulnerabilidades / codear exploits = security researching

* Intrusiones legales = pen-testing / "ethical" hacking (aunque más que ethical debería ser business, porque por etica no es precisamente), wargamers etc..

* Crackers = reversing, cracks, etc

e infinidad de otros terminos... como defacers, phreakers, virers.....

Por norma general una misma persona realiza varias de las anteriores, tampoco me parece mal que cualquiera se considere *hacking*, mi punto de vista es otro, sin embargo con lo que si que no estoy de acuerdo es con lo de:

"Los hackers buenos son hackers y los malos crackers" Ni lo de piratas informáticos, los piratas copian CD's!

Pero bueno este tema esta muy trillado, como lo de los blackhats/whitehats pinkhats y otros tuxies de colores.

/nobody

Uno_cualquiera dijo...

!dSR son dios, y a los que habláis demasiado ya os gustaría comeros la mitad que ellos.

Uno_cualquiera dijo...

!dSR son dios, y a los que habláis demasiado ya os gustaría comeros la mitad que ellos.