FBI fanger muligt Lulzsec-medlem

Kan det virkelig passe at når man vil hacke et større firma som Sony Pictures, så er det eneste man bruger til at beskytte sig selv hidemyass?

#1 Åbenbart ikke

Kan det virkelig passe at når man vil hacke et større firma som Sony Pictures, så er det eneste man bruger til at beskytte sig selv hidemyass?X3N4T3 (#1)

Det lyder knageme ikke særlig klogt...

Hackeren havde forsøgt at slette sine spor ved at formatere sin harddisk, men blev altså fanget alligevel.Nyheden

"Quick format? Jo, hvorfor ikke, jeg gider da ikke vente på at den er færdig.."

Så har man godt nok også fortjent at blive fundet.

Er SQL injections ikke en af de mest basale sikkerhedsting man burde have styr på?

#6 Det er meget basalt og der er da også en del der tyder på at sikkerheden hos sony langt fra var god nok.

Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå. Det er let at sidde og være kæphøj men faktum er jo trods alt at jeg ikke kan nævne en eneste større webbaseret software-stak der bruger SQL som ikke har haft sikkerhedshuller relateret til SQL injections.

Herlige Emmergut.
Hvis en SQL Injection virkelig var alt der stod mellem en bruger og Databasen så er det fandeme utroligt at det ikke er Sony der modtager høvlne her!

Herre gud det svare jo næsten til at sætte en Bil aflåst på Amager med nøglen i tændingen og 250.000kr i kontanter på bagsædet og forvente ingen bryder ind og naller lortet!

For satan den knægt fortjener sgu et skulderklap, og så røffel for at ikke gemme sig ordenligt.

Og til 7# Det er fuldt ud muligt at beskytte sig imod SQL Injections.
Og det er noget man forventer firmaer som Sony har styr på.

selv uden at kunne hacke det mindste, så ville jeg selv kunne skjule mig bedre, hvis jeg lige fik et par timer på google og fik fundet den rigtige metode/software.

kæft hvor er han dum

#6 Det er meget basalt og der er da også en del der tyder på at sikkerheden hos sony langt fra var god nok.

Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå. Det er let at sidde og være kæphøj men faktum er jo trods alt at jeg ikke kan nævne en eneste større webbaseret software-stak der bruger SQL som ikke har haft sikkerhedshuller relateret til SQL injections.blacktiger (#7)

#7: Det er langt fra umuligt at beskytte sig mod SQL injections.
Du kan f. eks, I PHP, bruge mysql_real_escape_string, eller Prepared statements. Dette burde mere eller mindre beskytte dig fuldstændigt.

Er SQL injections ikke en af de mest basale sikkerhedsting man burde have styr på?Cruiser (#6)

Jo, og det er ikke særligt kompliceret at sikre sig mod, da man blot skal sanitere sit input.

Men alligevel er det et af de mest hyppigt forekomne sikkerhedshuller.

Jo, og det er ikke særligt kompliceret at sikre sig mod, da man blot skal sanitere sit input.
Spiderboy (#11)

Det er generelt et rigtigt godt tip - ellers kan man få alle mulige skumle infektioner!

Det tager 3 minutter at sikre sig mod SQL injections. Så ret pinligt for Sony at de ikke har haft styr på det.

Det er det samme som at gå på toilettet og lave nummer 2, og ikke tørre sig bagefter. Det bliver noget værre møg hvis ikke man gør det!

Men hold da op! Jeg kryllede tær da jeg læste at knægten blot havde brugt hidemyass.com. Det er da godt nok dumt!
I det mindste brug 2-3 proxys OG gør det fra en offentlig computer. F.eks. et biblioteks computer.

#10 Ja tak, det er også skide let når du koder en blog med 50 linjers kode. Men jeg gentager min pointe fra før som du åbenbart totalt overhøre. Hvis det er så let, kan du så forklare mig at både facebook, youtube, microsoft, samt hvert eneste open source php stak jeg kender har været sårbare over for SQL injections før i tiden? Tror du facebook som har et helt hold af sikkerhedseksperter ansat bare glemte at kigge efter om de nu huskede at bruge mysql_real_escape_string() ?

Det kan godt være at det er let at beskytte sig mod SQL injections på overfladen, men jeg vil påstå at hvis ingen kan finde ud af det er det pr definition ikke let.

Men hvis du mener det er så let, så kom med et (bare et) eksempel på et enkelt (større) projekt der benytter SQL om som ikke har været offer for SQL injections?

#14:
Det er faktisk så skide nemt.
Jeg vil gerne se dig lave SQL injections på et hvilket som helst site der har brugt de ovennævnte tools.

Hvorfor sker det stadigtvæk?
Fordi programmører er dovne og glemmer at sanitere deres input.
Fordi projekter som Facebook er enorme og de glemmer at sanitere deres input.

Hvis du mener det er så svært, så forklar mig hvorfor de ting jeg nævnte IKKE virker?

og nej. Jeg kan ikke vise dig et større projekt der ikke har været offer for det, fordi de ikke fulgte de ovenstående ting.

#14:
Det er faktisk så skide nemt.eax.exe (#15)

Nej, du mener det er så skide simpelt.

Nogle gange er der stor forskel på om noget er simpelt og nemt. Specielt inden for sikkerhed. Du læser åbenbart ikke hvad jeg skriver. Gå helt tilbage til mit første indlæg , der skriver jeg at det er meget basalt at beskytte sig mod, men helt umuligt i praksis.

Det er fordi løsningen er let, men umulig at implementere ordenlig.

Det er simpelt at beskytte sig mod SQL injections, men at du ikke kan vise et eneste eksempel på nogen der har gjort det ordenligt viser blot at det bestemt ikke er let.

#16.

Nej.
Faktisk skriver du:

Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå.

Havde du skrevet "I praksis" havde der stået noget andet.

Fortæl mig så venligst hvorfor det er umuligt? Siden du jo tydeligvis ved hvorfor.

At jeg ikke kan vise dig et eksempel er fordi jeg er for doven til at google mig frem til det.

Spørgsmål:
Ville han ikke have haft mere held ved at installere XP i en VirtualBox og så tilgået det hele gennem den og så slettet historik og så det disk image bagefter?

Evt. også VirtualBox, så de ikke aner at han har haft den mulighed?

Eller bare smide sin harddisk ud bagefter? :)

#19 Tænkte jeg også.. Hvis jeg var jagtet af FBI havde jeg nok hakket den i stykker, blandet den op med kødfars og spist den. eller måske ikke, men der er da mere sikre metoder end at formatere den. Det er bare at være lidt kreativ :-).

#18 og #20: Han burde have brugt en helt anden computer med et helt andet OS og internetforbindelse, end sin egen.

Internetforbindelsen kunne han have fået fra naboens wlan eller 3G kombineret med 10 proxies gennem 10 lande.

Nogle højere bud? :P

Da der stod han havde brugt hidemyass.com, så havde jeg ingen tvivl om at folkene bag LulzSec stammer fra HackForums.net.

Den påstand bliver ikke mindre falsk af at de fornylige havde en session på deres IRC channel hvor et af medlemmerne fra LulzSec prøvede at forklare folk hvordan en buffer overflow fungerede...

Men han havde ingen forstand på little-endian byteordering, og troede ikke på man kunne bruge andet end /bin/bash i sin shellcode.

Komplet fail.

EDIT:

Nogle højere bud? :Pruvald

Tor

"Hvis han bliver dømt, står han til 15 års fængsel."

Hold da kæft det er sindsygt!

#23

Når man tager høje for hvor længe PSN var nede, og at alle de konto oplysninger der nu var senere er fundet sat til salg, så er det egentligt fair nok. Har ikke meget til overs for folk der påstår at de gør noget fordi de mener det er det rigtige, og så på sidelinjen lige score kassen ved at sælge ting på det sorte marked.

Men nu må vi se hvad han bliver dømt for, kan være han rent faktisk ikke er en af de røvhuller der var indblandet i det her for egen vindings skyld.

TorVolatile (#22)

Også mit bedste bud.

#18: Ingen grund til alt det besvær. Han skulle bare havde overskrevet sine filer, så ville FBI ikke kunne genskabe dem.

Når man sletter en fil, så bliver den ikke slettet. Det eneste der sker, er at systemet 'glemmer' hvor filen ligger. Man kan så bare gå ind og kigge på alle 'placeringer' og derved finde en masse slettet filer. Når man i stedet overskriver filerne, så 'forsvinder' de.

#18: Ingen grund til alt det besvær. Han skulle bare havde overskrevet sine filer, så ville FBI ikke kunne genskabe dem.Nicolai (#26)

Man kan bruger et program som Eraser til den slags. Programmet kan overskrive filer eller overskrive alle tomme placeringer med indtil 35 lag garbage data.

#18: Ingen grund til alt det besvær. Han skulle bare havde overskrevet sine filer, så ville FBI ikke kunne genskabe dem.

Når man sletter en fil, så bliver den ikke slettet. Det eneste der sker, er at systemet 'glemmer' hvor filen ligger. Man kan så bare gå ind og kigge på alle 'placeringer' og derved finde en masse slettet filer. Når man i stedet overskriver filerne, så 'forsvinder' de.Nicolai (#26)

Man kan med det rigtige værktøj aflæse bitværdierne på hdd'ens plader flere overskrivninger tilbage, så det eneste rigtige er fysisk at ødelægge hdd'en fulstændigt..

Gad vide hvad FBI har lavet indtil nu så.
Hvis de digitale spor førte til manden hvorfor fangede de ham så ikke med det samme.
Så lang tid tager det heller ikke at få tilladelse til at tvinge oplysninger ud af ISP og andre.

Der står sådan set ikke noget om at Hidemyass.com var der afslørede ham eller at hans 'wipe' af harddisken ikke var gjort ordentlig.
Eller at det overhovedet er den samme harddisk som han brugte under angrebet (såfremt det er ham).
Det eneste specifikke der står er ordet hidemyass.com

Tyder det ikke bare på at vidne afhøringer har ført FBI frem til manden ?
Det er jo ikke ligefrem den første fra gruppen de fanger.

#29 hidemyass.com har sagt at de har hjulpet FBI ved at udlevere logfiler. Det har via hans IP ført direkte til hans adresse.

Eller bare smide sin harddisk ud bagefter? :)Carstone (#19)

Kryptering er vist en meget billigere løsning i det tilfælde. Udfør din gerning via. en krypteret harddisk, og formater derefter harddisken. No traces, ingen hårde beviser.

Selvfølgelig vil logfilerne fra Hidemyass stadigvæk kunne fælde dig :)

Brug et wifi hotspot - mcd i provinsen - brug en billig netbook - smadr lortet med en hammer - kør ud i nærmeste skov og brænd resterne

Er det ikke et rimeligt godt bud?

#32
http://www.wired.com/threatlevel/2011/08/hacking-from-mcdonalds/

#32
http://www.wired.com/threatlevel/2011/08/hacking-from-mcdonalds/Mamad (moveax1ret) (#33)

Du skal bare lade være med at købe noget til 25-30 kroner med dit kreditkort. Køb det med kontanter i stedet!

Gør det uden for lukketid ...

McD i tønder - 01:45 om natten - ud i det gamle militære øvelsesterræn og brænde lortet?

Jeg mener "dum ide!"

#23

Når man tager høje for hvor længe PSN var nede, og at alle de konto oplysninger der nu var senere er fundet sat til salg, så er det egentligt fair nok. Har ikke meget til overs for folk der påstår at de gør noget fordi de mener det er det rigtige, og så på sidelinjen lige score kassen ved at sælge ting på det sorte marked.

Men nu må vi se hvad han bliver dømt for, kan være han rent faktisk ikke er en af de røvhuller der var indblandet i det her for egen vindings skyld.Testa (#24)

Det hack der omtales her var ikke PSN hacket, der er tale om et hack hvor en database han fik adgang til og frigav.

#6 Det er meget basalt og der er da også en del der tyder på at sikkerheden hos sony langt fra var god nok.

Når det så er sagt, så selv om SQL injections - ligesom XSS - er meget basale er de også helt umulige at undgå. Det er let at sidde og være kæphøj men faktum er jo trods alt at jeg ikke kan nævne en eneste større webbaseret software-stak der bruger SQL som ikke har haft sikkerhedshuller relateret til SQL injections.blacktiger (#7)

#7: Det er langt fra umuligt at beskytte sig mod SQL injections.
Du kan f. eks, I PHP, bruge mysql_real_escape_string, eller Prepared statements. Dette burde mere eller mindre beskytte dig fuldstændigt.eax.exe (#10)

Det løgn

$_POST['id'] = "1 OR 1=1";

$id = mysql_real_escape_string($_POST['id']);
$query = "SELECT * FROM entries WHERE id = $id"

Du er stadigvæk sårbar her :)

mysql_real_escape_string får folk til at kode med hovedet under armen, fordi de bare tror at nu har de beskyttet sig godt nok.

dual post

Det løgn

$_POST['id'] = "1 OR 1=1";

$id = mysql_real_escape_string($_POST['id']);
$query = "SELECT * FROM entries WHERE id = $id"

Du er stadigvæk sårbar her :)

mysql_real_escape_string får folk til at kode med hovedet under armen, fordi de bare tror at nu har de beskyttet sig godt nok.inckie (#37)

Jeps.

Når man forventer tal som f.eks. id'er, så er det bedre at lave et eksplicit typecast til int eller lignende.

hidemyass.com - Holy crap! Det er godt nok det dummeste jeg har hørt længe!!!

Begynder at mistænke at anon og lulzsec bare er en flok scriptkiddies. Og at sikkerheden hos nogle store firmaer er helt i skoven...(okay lidt ironi er brugt her...)

Hvis jeg skulle lave noget lignende, hvor jeg vidste at jeg ville få FBI, CIA, KGB, PET...osv osv. opmærksomhed, så er det da sikkert at jeg ville sikre min røv bedre end det.

Finde et åbent WIFI (og lade være med at tage mobilen med på turen ;), Linux dist kun kørende i RAM. (evt bygge en comp med gammelt genbrugs hardware), proxyer en masse. end to end kryptering (Tor krypterer ikke...), sølvpapirshat og svedbånd!!!

15 år er lang tid i et amerikansk fængsel, hvor det er Bubba, med en svaghed for prettyboys, der er chef...

Det gir jo absolut ingen mening heller, at udføre en kriminel handling der giver så stor en straf uden der er noget at vinde...

hidemyass.com - Holy crap! Det er godt nok det dummeste jeg har hørt længe!!!

Begynder at mistænke at anon og lulzsec bare er en flok scriptkiddies. Og at sikkerheden hos nogle store firmaer er helt i skoven...(okay lidt ironi er brugt her...)

Hvis jeg skulle lave noget lignende, hvor jeg vidste at jeg ville få FBI, CIA, KGB, PET...osv osv. opmærksomhed, så er det da sikkert at jeg ville sikre min røv bedre end det.

Finde et åbent WIFI (og lade være med at tage mobilen med på turen ;), Linux dist kun kørende i RAM. (evt bygge en comp med gammelt genbrugs hardware), proxyer en masse. end to end kryptering (Tor krypterer ikke...), sølvpapirshat og svedbånd!!!

15 år er lang tid i et amerikansk fængsel, hvor det er Bubba, med en svaghed for prettyboys, der er chef...delley (#40)

...

Gør det uden for lukketid ...

McD i tønder - 01:45 om natten - ud i det gamle militære øvelsesterræn og brænde lortet?

Jeg mener "dum ide!"Thoroughbreed (#35)

Et meget billig bærbar købt af Al-Hamid på DBA.dk og åbent Wifi ... Du behøver ikke engang sølvpapirshatten!

#42 overdrivelse fremmer forståelsen ;) hidemyass.com er _bare_ ikke godt nok. Tør vædde på at det site er drevet af CIA...

er _bare_ ikke godt nok.delley (#43)

#43

De der B, I og U knapper er _bare_ til pyndt. :)