29 янв. 2017 г.

Хакеры и ФСБ

В новостях пишут, что по делу Стоянова и Михайлова арестован еще один сотрудник ЦИБ Дмитрий Докучаев.

Любопытно, что его имя (по всей видимости это не однофамилец, слишком много совпадений) уже всплывало, причем еще в 2012-м году. Докучаев был редактором раздела "Взлом" журнала "Хакер" и известным персонажем на кардерских форумах под ником Forb. Впрочем, коллеги по кардингу вычислили его еще раньше как сотрудника ФСБ.

 Его биографию довольно подробно рассказали в ЖЖ:

Карьерный путь парня вполне прямолинеен и незатейлив - Ford из Екатеринбурга, где и закончил один из технических ВУЗов. В свое время официальным прикрытием его была работа админом на кафедре, где он и получил свой первый неограниченный доступ к компьютеным сетям и "разнокалиберным" компьютерам. Профессионально занимался программированием, администрировал несколько серверов. Заодно не забывал и спорт. Правда, сотрудничество "с органами" началось с допроса, на котором мы ему показали все его правонарушения - ему припомнили все от первого взлома регионального провайдера до правительственных сайтов США. Выдавать ФБР "молодого специалиста", конечно, никто не захотел - ему просто предложили нехитрую альтернативу: или пятилетний контракт на работу или втрое большее время отсидки в тюрьме. Решающим аргументом было то, что в местах заключения компьютера в свободном доступе у него уже не будет :)
Кстати, попался "огранам на прицел" Forb не из-за своих взломов - падение серваков из США наши сотрудники только приветствовали. Его взяли из-за большого интереса к кардингу - воровством денег с банковских карт, а, точнее, воплями зарубежных процессионговых систем по этому поводу, заинтересовались и отечественные борцы с преступностью. Потом его и натравили на кардеров - чтобы свои жрали "своих" :)


У нас в органах, если кто не в курсе, слишком много начальников и любителей говорить или "решать вопросы" с бизнесом. Но слишком мало людей, которые умеют делать что-то руками. Поэтому к сотрудничеству привлекаются на первый взгляд странные персонажи - их ловят "на горячем" и предлагают альтернативу: поработать на страну или оказаться в местах не столь отдаленных. Понятное дело, что связываться имеет смысл только с теми, кто разбирается, к примеру, в информационных технологиях и достаточно хорошо "завяз" по предыдущим делам. Они будут грамотно исполнять свои задачи и, заодно, никогда не попросят прибавки к жалованию - всегда найду работу "на стороне", которая обеспечит их материально. Но это всем пофигу.
Сотрудничество с печатным СМИ получилось у г-на Докучаева тоже не просто так - он был выставлен в качестве фронт-мена в издательский дом "Гейм Лэнд" для сбора самой банальной контрразведывательной информации широкого профиля (кто там Агарунов? Он был в курсе). Это как сети, в которые время от времени заплывает более-менее ценная рыба: надо только внимательно регулировать ширину ячеек бредня и есть шанс получить хороший улов. Именно поэтому он, с согласия своих кураторов, писал тексты на "профессиональные темы" для получения необходимых контактов в среде виртуальных вломщиков.

Это всё написано 4 года назад, я подчеркну. Деятельность Шалтая с учетом этой истории теперь и вовсе не кажется чем-то из ряда вон выходящим. Ребята наши себе подработку.

Но что еще смешнее, так это то, что Докучаев в качестве хакера дал интервью "Ведомостям" в 2004-м году - "Лицом к лицу с хакером":

Своим самым большим достижением он считает взлом правительственного сайта США. “Несмотря на сложность взлома, мне удалось обойти тамошний брандмауэр и успешно осуществить атаку”, – вспоминает Forb.

ПыСы. Попыталась тоже с помощью "реверс инженерии" перевести эту фразу обратно на понятный язык, с которого журналист перевел и получил это:

я залезаю на сайт и начинаю тыкаться во все ссылки. Если среди них находится сценарий, который имеет входные параметры, я пробую изменять опции с целью вызова непредвиденной ситуации. Если мне повезло – добиваюсь командного режима, удаленно получаю абсолютные права, останавливаю межсетевой экран (в случае необходимости)

сценарий - это скрипт, входные парметры - инпут же? межсетевой экран - файерволл. А "непредвиденная ситуация" это у нас что? абсолютные права -  рут, что ли? добиваюсь командного режима -  консоль, видимо. 

34 комментария:

  1. Ответы
    1. Что ему мешает написать прямым текстом?
      Я так понимаю, он намекает, что было две разных истории. Михайлов с Докучаевым по просьбе Стоянова передали западным его клиентам какую-то не секретную информацию. Типа подготовили какой-то аналитический отчет или еще какую-то лабуду. Что-то, видимо, связанное с тебевой безопасностью. А их зажопили и стали вешать госизмену (не первый случай. Были прецеденты, когда люди делали исследовательскую работу по заказу западных организаций. Вся инфа там открытая, но сам отчет объявляли шпионским документом и кирдык). А заодно навесили на них и Шалтаев. И это всё проделки конкурирующих букв.

      Удалить
    2. Конгресс, немцы какие-то, голова пухнет. Непонятно, как Стоянов из ЛК связан с Шалтай-Болтаем. Ну или я невнимательно прочитал.

      Удалить
    3. Стоянов, по его мнению, если я правильно поняла, не связан никак. Споров хочет сказать, что Шалтая на безвинных Стоянова-Михайлова- Докучаева навешивают враги из других букв, чтобы от чего-то там отвлечь.

      Удалить
  2. Надо всё-таки заставить себе Mr. Robot посмотреть. Он у меня не пошел, но теперь, с местной фактурой, может лучше зайдет. там вроде как раз была ситуация, когда атака начинать с такого устройства "непредвиденной ситуации". А абсолютные права — это разве не про управление, вроде "права администратора"?

    ОтветитьУдалить
    Ответы
    1. Про управление.
      Я просто прикидываю, как звучал рассказ в оригинале. "Захожу на сайт, начинаю тыкаться по всем ссылкам. Нахожу форму со скриптом, ну там пробую через инпут разные команды, чтобы вызвать "непредвиенную ситуацию" (не угадаю, что тут за слово), если повезет, из рута вызываю консоль "

      Удалить
    2. непредвиденная ситуация - это алёрт, наверное.

      Удалить
    3. От характера ситуации должно зависеть, наверное. Еще ребут, крэш, и — маловероятно, но есть глюк.

      Удалить
    4. Совершенно не имеет значения что он там говорил. "Сломать вебсайт" - это в 90% случаев уронить либо PHP во фронтенде, либо MySQL в бакенде, заставив несчастные плоды опен-сорсной разработки выполнить кусок твоего кода. Дальше там возможно несколько вариантов, лишь один из которых "получение рута".

      Причиной практически всегда является недостаточно тщательная фильтрация CGI параметров говноразработчиками, либо плохая реакция их говноподелки на слишком длинные параметры. В аккуратно написанных системах такое в принципе не должно встречаться, новыжипанимаите...

      Удалить
    5. Да это был чисто лингвистический вопрос. Видно, что его речь перевели на "нормальный" язык, я просто пытаюсь восстановить первоисточник.

      Удалить
    6. "Непредвиденная ситуация" это, скорее всего, исключение, exception. Throw an exception.

      Удалить
    7. "уронить либо PHP во фронтенде" - PHP это бекэнд же?

      Тыкатся по ссылкам и искать сценарий который имеет входные параметры это не обязательно форма. Скорее ищет страницу например такую site.com/articles/article.php?id=1134134&mode=3 где то что после ? и разделенные & это входные параметры и их значения которые обрабатывает скрипт(сценарий) article.php по адресу site.com/articles/article.php. Тогда он подставляет различные значения например mode. Что если mode=1 открывает статью с возможностью редактирования.

      Или например страница профиля с кнопкой удаления профиля. Копирует урл запроса отпрявляемого такой кнопкой подменяет айди пользователя и смотрит проходит ли операция, удаляется ли другой пользователь или есть какие-то дополнительные проверки.

      В исключительных случаях при небрежном написании кода значения таких параметров вставляются без проверки в часть исполняемого кода сайта. Злоумышленник может предположить что этот параметр становится частью строки запроса в базу данных. Тогда он может в параметр записать свои команды в базу данных и ее тупо всю удалить или начать параметр с закрывающих символов строки и функции, а дальше добавить любой свой код который например выведет ему на сайте логин пароль администратора сайта. Но доступ к сайту не дает доступа к хостингу. Так что вряд ли речь идет о консоли.

      Удалить
    8. Ниже подсказывают, что это мог быть шелл.

      Удалить
    9. описанный ниже пример, если я правильно понял, описывает способ доступа к файлам и возможность их запускать незалогиненным пользователем или пользователем с ограниченными правами в ОС. это да. но, на сколько я могу судить, это не применимо к сайтам и ссылкам.

      Удалить
    10. Вы все углубились куда-то очень далеко. Суть задачи-то простая: в 2004-м году, то есть, давно, хакер по просьбе журналиста для примера объяснил, каков алгоритм его действий, не вдаваясь в подробности (напомню, 2004-й, всё довольно просто еще). Журналист записал эту, с его точки зрения, белиберду и попросил кого-то перевести это, как ему казалось, на понятный язык. В результате это не понятно ни обычному читателю, ни более-менее знакомому с сетевыми технологиями. Так-то в целом понятно, что он говорил - он тыкается по сайту в поисках скриптов, а затем проверяет найденные на уязвимость - возможность через этот скрипт выполнить не предусмотренные разработчиком команды или послать несанкционированный запрос. Затем тем или иным путем получить полные права и, пользуясь ими, контролировать всё и шарить везде. Но если бы его слова были записаны, как есть, то, на мой взгляд, это было бы понятней, хихи.

      Удалить
    11. Я сомневаюсь, что конкретно этот текст адаптировался. Звучит он так как-будто прям с его слов и записали. Несоответствие вижу только в фразе "менял опции" (значения входных параметров) и в том, что он отключал межсетевой экран. Это похоже на преукрашивание. Впрочем может в 2004 году такое еще было возможно.

      Удалить
    12. Вы его статьи посмотрите, хехе.
      Шелл может оказаться весьма полезной фичей. Почему? Во-первых, канал. На уважающем себя хостинге канал должен быть широкий. Во-вторых, сам софт. Пень 166 для хостинга не пройдет =). Следовательно, можно запускать задачи наподобие john, требующие мощного проца. И, наконец, на некоторых хостингах имеются реверсивные виртуалхосты (которые резолвятся в обе стороны) - можно запросто поставить баунсер с отличными хостами, да еще и затрейдить доступ к нему.

      Вот в тех же выражениях он и объяснял. Журналист с редактором попробовали сделать подобный текст "понятным".

      Удалить
    13. Ну тут вынужден согласиться. Форма разная.

      Пень 166 это вообще что-то из середины 90ых

      Удалить
    14. Да дело не в этом, а в том, что человек привык писать Пень, проц, резолвится, хост. Он так разговаривал. Интервью-то старое, сейчас, может, он уже меньше говорит на этом языке, а тогда-то он вряд ли употребил слово "сценарий", да и кто его вообще употребляет, скрипт он и в Африке скрипт.

      Удалить
  3. да, перевод примерно правильный.

    из своей практики могу такой пример привести.

    есть, например, для удалённых пользователей возможность запуска по единственному ярлычку единственного бизнес-приложение, excel пусть будет для простоты.
    дальше пользователь открывает диалоговое окно "открыть файл", а вместо предлагаемой по умолчанию маски *.xls делает *.*, ныряет в системную папку (оно ж работает почти так же, как обычный file explorer, и через контекстное меню запускает cmd.exe - ту самую консоль командной строки.

    понятное дело, это не даёт ему никаких дополнительных прав, но, как говорится, главное ввязаться в бой.

    чтоб "отрубить" такие вот "входы" не требуется особо кропотливой работы админа. но, как правило, на них экономят и тупо забивают на такие детали, которые знает квалифицированный сисадмин. что заплатишь - то получишь. а дальше - всё зависит от любопытства и упорности пользователя.

    нам кажется, что там яйцеголовые всё круто придумали и реализовали, а на самом деле, мы те же механики в гараже, которые залили, что залили, а болтик завернуть забыли. ну, вон хирурги же оставляют ланцеты-пинцеты в животах.

    непредвиденная ситуация - это exception, то, что приводит к остановке исполнения и, например, к запуску дебагера. но это в нашем мире бизнес-приложений, но там всё то же самое примерно.

    ОтветитьУдалить
    Ответы
    1. ВАСЯ ЕСЛИ ТЫ ЕЩЕ ЖИВ АККУРАТНО ОСТАНОВИСЬ И ЗАТЯНИ БОЛТЫ А ТО МЫ ЗАБЫЛИ -- ШИНОМОНТАЖ

      Удалить
  4. "непредвиденная ситуация"
    Exception
    абсолютные права
    root или sudo хотя бы
    добиваюсь командного режима
    shell доступ

    ОтветитьУдалить
  5. Ничего не нужно «переводить». Тут имеется в виду не термин, а ситуация, в которой программа обрабатывает набор данных, о котором её авторы не подумали. (Впрочем, можно заметить, что под это определение при желании подводится любой хакинг.) В вебе это, в основном, текстовые данные различного формата.

    https://en.wikipedia.org/wiki/Code_injection
    https://www.owasp.org/index.php/Top_10_2013-A1-Injection

    Даже для 2004 года ничего невероятного в описании нет, оно практически взято из учебника. Разница в том, что тогда кривые государственные сайты можно было ронять относительно безнаказанно. Впрочем, журнал «Хакер» — та ещё кузница кадров: разным вариациям шутки про то, что 90% его содержимого объективнее было бы публиковать в журнале «Ламер», очень-очень много лет.

    А у биографии, по всем признакам, приставка «авто-» просвечивает. Хвастается чувак.

    ОтветитьУдалить
    Ответы
    1. Тьху. Меня заинтересовало, какими именно словами он описывал свой алгоритм (совершенно примитный, я и так понимаю, что он делал) на самом деле. Из какой его реплики получился этот корявый текст. А вы мне говорите "Плевать на ваш вопрос, он не нужный, я вам объясню как всё было на самом деле". Слушайте иногда собеседника или вон комменты прочтите. Ну правда же.

      Удалить
    2. Воообще же какое-то горе от ума. Был простой вопрос без двойного дна, просто восстановить исходный текст. И большинство на него и ответили - эксепшен, шелл. А вы решили что тут все глупые и надо немедленно объяснить, что пацан ламер со ссылками на википедию. Не в укор вам, но немного удручает.

      Удалить
    3. Да и я без двойного дна отвечал.

      — «Непредвиденная ситуация» в оригинале и была «непредвиденной ситуацией». Возможно, был употреблён сложный хакерский термин «глюк».
      — Exception тут никоим боком не подходит, передавайте горячий привет комментаторам выше.
      — Ссылки ведут на популярное изложение проблемы. Хорошо, что вам они уже не понадобились.
      — Выпад в сторону «Хакера» относится уже не к конкретному персонажу, а является частью моей оценки той самой описываемой культурной среды.
      — «Автобиография» было сказано конкретно про источник первых двух цитат.

      Так что «пацан-ламер» на вашей совести.

      Удалить
    4. Вы отвечали не на тот вопрос, который был задан. "Непредвиденной ситуации" в оригинале быть не могло, потому что молодые люди такого рода занятий разговаривают на характерном языке. И пишут на нем же. Вот вам пример статьи Докучаева (для вас подчеркну - речь не о содержании, а о форме, в каких выражениях он описывает действие):

      Когда мне хочется найти сервер с уязвимым сервисом cvs и пробить его новым эксплоитом, я никогда не буду сканировать весь диапазон портов на машине. Зачем? Я просто выполню команду «telnet victim.com 2401» и проверю наличие демона на тачке. Затем бесшумно запущу сплоит и получу искомый шелл. Если даже сервис пропатчен, никаких следов я не оставил, посему обвинить меня в деструктивных действиях никому не удастся.
      ________
      Или:
      Вот краткий алгоритм работы этой самой системы: ты отправляешь обычному скрипту, который находится на сервере со слабым каналом, ссылку на необходимый файл. Скрипт, корректно переварив данные, передает ссылку уже другому скрипту, на более безопасном сервере. Тот, в свою очередь, довольно быстро выкачивает файл из инета и отправляет тебе на E-mail аттачем. Прелесть этого алгоритма в том, что ты практически не оставляешь следов за тобой. Нередко, в клубах сниффают данные, но так как твой e-mail забит уже во второй скрипт, то враг никогда не заспамит тебя
      _________
      Они не используют слово "сценарий" и "прикрепленный файл", они пишут скрипт и аттач. Не командный режим, а шелл и тд.

      Удалить
    5. Это исключительно частные случаи. И в литературе 2004 года по программированию как раз используются адаптированные слова - среда окружения вместо употребляемого сейчас энвайромент. Урла вместо ссылки сейчас часто используется в речи. Я знаю пару программистов которые стараются сводить к минимуму английский сленг и говорят оценка человекачасов на задачу вместо эстимейты.

      Удалить
    6. Вы заметили, что рассматривается не техническая литература и не термины, которые используют ваши знакомые, а язык конкретного двадцатилетнего программиста (ему тогда было 20 лет)? С примерами.

      Удалить
    7. Oфф: Уважаемая Редакция, вы как-то писали про киберспорт как тренд: вот сейчас на твиче идет финал чемпионата по Контр Страйку (играет, кстати, команда Усманова) и смотрит его 1000000 человек — это сопоставимо с рейтингом больших сериалов, кмк.

      Удалить
    8. Киньте ссылку, пожалуйста, я тоже хочу посмотреть!

      Удалить
    9. Трансляция: https://www.twitch.tv/eleaguetv

      Удалить

Здесь иногда пропадают комменты - это баг.