2

października 1983 roku podczas specjalnego programu telewizjnego kręconego na żywo pt. „Making the Most of the Micro – Live!” w BBC1 (ang. British Broadcasting Corporation) doszło do incydentu związanego z bezpieczeństwem komputerowym. W trakcie programu prowadzący John Coll i Ian McMcNaught-Davis chcieli zademonstrować, jak podłączyć się z usługą poczty elektroczninej (e-mail) British Telecom Gold za pomocą zwykłego modemu. Niestety krótko przed emisją kierownik sali podał hasło do konta jednemu z prowadzących podczas, gdy jego mikrofon był włączony. Wykorzystali to goście programu, którzy znajdowali się w poczekalni. Skontaktowali się telefocznie ze znajomym hackerem i przekazali mu podsłyszane hasło. Hackerzy pod pseudonimami „Oz” i „Yug” wykorzystali tę informację, aby zalogować się szybciej na konto programu. W trakcie demonstracji przez prowadzących na ekranie komputera pojawiła się ich wiadomość, w której w zabawny sposób wytknęli błąd w zabezpieczeniach:

Computer Security error. Illegal access
I hope your Television PROGRAMME runs
as smoothly as my PROGRAM worked out
your passwords!   Nothing is secure!

    Hackers' Song.

"Put another password in,
Bomb it out and try again,
Try to get past logging in,
we're Hacking, Hacking, Hacking...

Try his fist wife's maiden name,
This is more than just a game.
It's real fun, but just the same,
It's Hacking, Hacking, Hacking!"

    -   The NutCracker.
       ( Hackers' U.K. )

<
*** ACN019 (41) on SYS81  12:08
HI THERE OWLETS, FROM OZ AND YUG (OLIVER AND GUY)!

Pomimo włamania do systemu nie zostały wyrządzone żadne szkody i demonstracja mogła być kontynuowana bez zakłóceń. Celem tego incydentu było jedynie pokazanie, że żadne systemy nie są w pełni bezpieczne. Sam program „na żywo” był dwurazowym wydarzeniem zorganizowanym w odpowiedzi na „masowe zainteresowanie” widzów po pierwszych seriach cyklicznego programu „Making the Most of the Micro” (będącego częścią większego projektu edukacyjnego Computer Literacy Project działającego w latach 1980-1989 w Wielkiej Brytanii). Dlatego wydarzenie z pierwszej części odbiło się bardzo szerokim echem i przyczyniło się do wzrostu zainteresowania tematyką hackerów i bezpieczeństwa komputerowego. W drugiej części tego specjalnego programu Live nie omieszkano poruszyć zagadnień bezpieczeństwa haseł, a nawet pokazano jak hacker 'David’ włamuje się na żywo do innego komputera. Choć incydent na antenie BBC nie był wynikiem skomplikowanego ataku technicznego, lecz prostego błędu ludzkiego (i słabego, dwuliterowego hasła) to przeszedł do historii jako jeden z pierwszych transmitowanych na żywo przykładów hackingu.

Więcej informacji: The NutCracker Song, 1983: The BBC is HACKED Live On Air | Micro Live | Retro Tech | BBC Archive, Micro Live, MTMOTM Live Special

H

iszpańska scena lat 90-tych zaczyna się od przesłania: „Cześć, jestem Mave. To, co wam powiem, jest niezwykle ważne. TWOJA PRZYSZŁOŚĆ JEST W ****NIEBEZPIECZEŃSTWIE**** DUŻYM ****NIEBEZPIECZEŃSTWIE****. Dziś rano, 31 stycznia 1996 roku, o 09:00 rano w moim domu pojawiła się policja sądowa, a dokładniej brygada do walki z przestępczością komputerową i **ZAARESZTOWAŁA** mnie. Tak zaczynała się wiadomość, którą Mave wysłał do swoich kolegów z Konspiradores Hacker Klub (KhK), gdy dostąpił „zaszczytu” zostania pierwszym hackerem aresztowanym w Hiszpanii. Oskarżono go o penetrację systemów należących do Uniwersytet Karola III w Madrycie i użycie skradzionej karty w Compuserve, co w tamtych czasach było standardem wśród hackerów. Został złapany z powodu pomyłki: wszedł na kanał czatu pod nadzorem policji, zakładając konto pod swoim prawdziwym nazwiskiem.
[ czytaj całość… ]

L

0pht Heavy Industries (wymawiane „loft”) był kolektywem hackierskim działającym w latach 1992 – 2000, zlokalizowanym w rejonie Bostonu w stanie Massachusetts. L0pht była jedną z pierwszych realnych przestrzeni hackierskich (ang. hackerspace) w USA i pionierem odpowiedzialnego ujawniania błędów. Osławiona grupa zeznawała przed Kongresem USA w 1998 roku na temat „Słabe zabezpieczenia komputerów w rządzie: Czy społeczeństwo jest zagrożone ?” Jeśli spojrzymy na logo grupy to drugi znak w nazwie był pierwotnie zerem z ukośnikiem, symbolem używanym przez stare dalekopisy i niektóre systemy operacyjne w trybie znakowym, oznaczające zero. Jego nazwa online, w tym nazwa domeny to zatem „l0pht” (z zerem, a nie literą O lub Ø).
[ czytaj całość… ]

T

he Secret History of Hacking to film dokumentalny z 2001 roku, który koncentruje się na phreakingu, hackingu oraz inżynierii społecznej, które miały swój rozkwit w latach 70. i 90. Nagrania archiwalne opatrzone są komentarzami osób, które w taki czy inny sposób były ściśle zaangażowane w te sprawy. Film zaczyna się od przeglądu koncepcji wczesnych dni zjawiska phreakingu, w których zawarte są anegdoty o przygodach z telefonami opowiadane przez Johna Drapera oraz Denny Teresiego (dzwonienie dla zabawy do innych państw; inżynieria społeczna na pracownikach firm telefonicznych). Wszystko zaczęło się od rozwoju linii telefonicznych i wykonywania darmowych rozmów w czasach gdzie możliwość wykonywania połączeń była luksusem. Wszystko to za pomocą gwizdka z płatków śniadaniowych, umiejętnym gwizdaniu do słuchawki, czy użyciu gadżetu o nazwie blue box.

Druga część filmu w komentarzu Steve’a Wozniaka przechodzi od phreakingu (chociaż Wozniak również brał w nim udział poprzez rekonstrukcję blue boksa Drapera) do hobbistycznego hackowania sprzętu komputerowego. Ukazane są doświadczenia członków klubu komputerowego Homebrew (Homebrew Computer Club), na forum którego wymieniane były pierwsze doświadczenia z osobistymi komputerami takimi jak Altair 8800. To na podstawie eksperymentów z tych spotkań Steve Wozniak stworzył komputer Apple I oraz Apple II udowadniając, że bystra jednostka o innym spojrzeniu może pokonać wielkie korporacje. Hacking odnoszący się do bezpieczeństwa komputerowego oraz inżynierii społecznej dotyczą głównie doświadczeń Kevina Mitnicka. Oprócz jego dokonań w ramach włamań do różnych sieci poruszany jest temat ewolucji internetu: z otwartej sieci, w sieć biznesu, gdzie hackerzy już nie byli mile widziani i określani przez FBI terminem cyberprzestępców. Wzrost obaw społeczeństwa przed phreakowaniem oraz hackowaniem był pompowany głównie przez media. Film WarGames oraz dziennikarskie doniesienia pod postacią artykułów: „Secrets of the Little Blue Box”, czy „Cyberspace’s Most Wanted” tylko napędzały obawy i wymuszały na organach ścigania podejmowanie czasami radykalnych kroków. Poza trzema głównymi bohaterami możemy usłyszeć jeszcze komentarze tych osób: Denny Teresi, Mike Gorman, Steven Levy, Ron Rosenbaum, Paul Loser, Lee Felsenstein, Jim Warren, Johnathan Littman, John Markoff oraz Ken McGuire.

Więcej informacji: Hacker Documentary, The Secret History of Hacking

T

rzecia część [ 1 ] [ 2 ] będzie poruszać ataki wstrzykiwania do skryptów powłoki. Te typy ataków występują, gdy użytkownik dostarcza jako argumenty przechowywane w zmiennych skryptu spreparowane polecenia lub wartości zamiast oczekiwanych danych wejściowych. W dodatku użyte zmienne są pozbawione znaków cytowania, które służą do usuwania interpretacji znaków specjalnych przez powłokę. Na przykład:

#!/bin/bash

read LOGIN
read COMMAND
if [ x$LOGIN = xroot ]; then
    echo $LOGIN
    eval $COMMAND
fi

[ czytaj całość… ]

W

drugiej części naszej serii zajmiemy się atakami na katalogi, które są dostępne do zapisu dla wszystkich użytkowników. Pliki znajdujące się w tych katalogach podatne są na atak polegający na możliwości zastąpienia ich innym, „złośliwym” plikiem, który skrypt zamierza odczytać lub zapisać.
[ czytaj całość… ]

N

a wstępnie pragnę zaznaczyć, że wpis ten w żadnym wypadku nie ma na celu dyskredytacji żadnej oficjalnej informacji, ani postawy prezentowanej przez opisane firmy, ani serwisy informacyjne. Jest po prostu innym spojrzeniem; luźną myślą, która powstała na skutek obserwacji zjawiska wygenerowanego przez opisane zdarzenie.
[ czytaj całość… ]

B

ezpieczeństwo, jeśli chodzi o pisanie skryptów shell bywa różne. Większość użytkowników skupia się zazwyczaj na rozwiązaniu napotkanego problemu programistycznego lub automatyzacji żmudnego zadania. Nie doprowadzanie w kodzie do luk umożliwiających późniejszą ich eksploatację schodzi na drugi plan. Dlatego w tej serii zostanie opisanych kilka typowych błędów popełnianych w skryptach shell oraz sposoby, w jaki można je wykorzystać i nim zapobiec.
[ czytaj całość… ]

Z

nowu IofT dał popalić Internetowi. Jak powstrzymać te wszystkie urządzenia przed przejęciem? Hmm… najlepiej je zamknąć przed zewnętrznym dostępem. Ale jak? Co łączy wszystkie te urządzenia? Może protokół? Ale jaki? HTTP. No tak, ale nie wstrzykniemy nim przecież uwierzytelnienia. To musi być coś uniwersalnego… No tak! UPnP. Spójrzmy ile mniej więcej jest wystawionych interfejsów tego protokołu. Według shodana prawie 14 milionów (dokładnie: 13,968,198). To już daje jakieś pole do popisu. Zacznijmy od routerów.
[ czytaj całość… ]

M

r. Robot to serial, który skupia się na Elliocie mającym zaburzenia psychiczne. Przez swoją chorobę nie potrafi kontaktować się z ludźmi. Pewnego razu odkrywa, że może to robić przez hakowanie ich. Nowa umiejętność zmienia jego życie. Musi balansować między firmą zajmującą się bezpieczeństwem w sieci, dla której pracuje a podziemiem hackerskim, które chce go zatrudnić, aby pomógł im zniszczyć amerykańskie korporacje.
[ czytaj całość… ]