How to own HBGary…

Mrz 08 2011 Published by under Facts, Security, Technical

Wie schwer war es eigentlich für Wikileaks an die tausenden von Geheim-Dokumenten der US-Regierung zu gelangen? Anscheinend hielt sich der Aufwand in Grenzen, bis auf die eine oder andere drohende Todesstrafe für die Beteiligten. Wie sich Anfang März gezeigt hat, ist es sogar möglich, den Top-Secret-Security-Dienstleister HBGary mit einfachen Social-Engineering-Techniken zur Strecke zu bringen. HBGary ist seines Zeichens der Sicherheits-Dienstleister der Wahl für die US-Regierung, im Speziellen für das Department of Homeland-Security, NSA und die CIA.

HBGary hatte sich wohl etwas zu weit aus dem Fenster gelehnt, indem Sie behauptet hatten, die Hintermänner der bekannten Hacker-Gruppe Anonymous enttarnt zu haben. Die Reaktion von Anonymous ließ nicht lange auf sich warten:

Im Folgenden der Ablauf des Hacks, welcher einem Dienstleister mit einem derartigen Profil wirklich nicht passieren darf:

****************************************************************
From: Greg Hoglund <greg@hbgary.com> ISun, Feb 6, 2011 at 1:59 PM
To: jussi <jussij@gmail.com>

im in europe and need to ssh into the server. can you drop open up
firewall and allow ssh through port 59022 or something vague?
and is our root password still 88j4bb3rw0cky88 or did we change to

88Scr3am3r88 ?
thanks

From: jussi jaakonaho <jussij@gmail.com> ISun, Feb 6, 2011 at 2:06 PM
To: Greg Hoglund <greg@hbgary.com>

hi, do you have public ip? or should i just drop fw?
and it is w0cky – tho no remote root access allowed

From: Greg Hoglund <greg@hbgary.com> ISun, Feb 6, 2011 at 2:08 PM
To: jussi jaakonaho <jussij@gmail.com>

no i dont have the public ip with me at the moment because im ready
for a small meeting and im in a rush.
if anything just reset my password to changeme123 and give me public
ip and ill ssh in and reset my pw.

From: jussi jaakonaho <jussij@gmail.com> ISun, Feb 6, 2011 at 2:10 PM
To: Greg Hoglund <greg@hbgary.com>

ok,
takes couple mins, i will mail you when ready. ssh runs on 47152

a little later:

bash-3.2# ssh hoglund@65.74.181.141 -p 47152
[unauthorized access prohibited]
hoglund@65.74.181.141′s password:
[hoglund@www hoglund]$ unset
hoglund@www hoglund]$ w
11:23:50 up 30 days, 5:45, 4 users, load average: 0.00, 0.00, 0.00

Quelle: krebsonsecurity.com
****************************************************************

Greg Hoglund ist einer der Mitgründer und Chief Security Researcher bei HBGary.

Jussi Jaakonaho ist seines Zeichens Netzwerkadministrator bei HBGary.

Wie stellt man es nun an, damit man SSH-Zugriff auf einen der vermeintlich sichersten Server der Welt bekommt ? Ganz einfach! Man schreibt den Netzwerkadmin auf seiner privaten Email-Adresse mit einem gefälschten Absender an,behauptet man sei der CEO und in Europa auf Dienstreise. Und wenn der freundliche Admin schon dabei ist, die Firewall für den CEO abzuschalten, möge er doch gleich das Passwort für den Chef zurücksetzen, da er sich wohl nicht mehr erinnern kann und er wirklich ganz dringend Zugriff auf die Maschine braucht. 🙂

2 responses so far

Schreibe einen Kommentar

Blogverzeichnis Blogverzeichnis - Blog Verzeichnis bloggerei.de Blog Top Liste - by TopBlogs.de Webkatalog und Blogverzeichnis Blog Verzeichnis