De wereldbekende ex-hacker Kevin Mitnick en DNS-goeroe Dan Kaminsky zijn het doelwit van hackers geworden, die websites van de twee wisten te hacken, persoonlijke informatie buitmaakten en vervolgens online publiceerden. Volgens de aanvallers zijn de twee beveiligingsexperts blaaskaken, die zichzelf graag op de voorgrond plaatsen, zonder dat ze dingen echt iets veiliger maken. De reden voor de hack was te vinden in een bestand dat op de site van Kaminsky was geplaatst, inclusief zijn wachtwoorden en een lijst van dingen die hij had gedownload over dating en andere onderwerpen. "Oh shit, Dan Kaminsky is 0wned and fUcked Up. Check doxpara.com/zf05.txt", zo was op het blog van de DNS-goeroe, doxpara.com, te lezen.
Ook het gebruik van een onveilige bloggingdienst en hosting services, waardoor de aanvallers eenvoudig toegang tot de gegevens kregen, kwamen Kaminsky en Mitnick op kritiek te staan. Wat ook geldt voor de wachtwoordkeuze van Kaminsky, zoals fuck.hackers, 0hn0z (root account van zijn e-mail), fuck.omg, fuck.vps, ohhai. "Een root wachtwoord van vijf karakters? Niiiiiice", aldus de aanvallers. In de mysql_history vonden ze: "SET PASSWORD FOR 'root'@'localhost' = PASSWORD('fuck.mysql')." "Zie je het patroon?"
Kaminsky verving de tekst in het bestand, waarin hij de aanvallers feliciteerde met hun aanval. Hoewel hij niet zo blij was met alle persoonlijke informatie die ze publiceerden, wilde hij toch een biertje met ze drinken tijdens de Defcon hackerconferentie. Via Twitter merkt hij op dat het inderdaad vervelend is, maar "als je je op het slagveld begeeft, kun je worden neergeschoten."
Koekje van eigen deeg
Voor de tweede keer in korte tijd was ook meesterhacker Kevin Mitnick het slachtoffer. De aanvallers bekenden ook achter de eerste aanval eind juni te hebben gezeten. Toen werd de website via een DNS-aanval vervangen door een pornografische foto van Mitnick met drie mannen. "Het was een schitterend uitgevoerd social engineering experiment dat perfect werkte en ons een aantal fantastische quotes opleverden." Verwijzend naar de excuses van Mitnick.
Die kreeg wereldbekendheid vanwege het gebruik van social engineering om vertrouwelijke gegevens te achterhalen. Hij schreef er zelfs een boek over, wat de aanvallers ook hebben gelezen. "Wat kan ik zeggen, The Art of Deception was een van de boeiendste boeken die ik ooit heb gelezen." Mitnick gaf als excuus dat zijn provider was gehackt, iets dat de aanvallers hem aanrekenen. "Laat me iets duidelijk maken Kevin, www.kevinmitnick.com is jouw verantwoordelijkheid om te beveiligen. Je leidt een security auditing bedrijf, wat ging er mis?" Verder krijgt de man die eind vorige eeuw het gezicht van hackers was, het verwijt dat hij zichzelf helemaal niet meer als hacker ziet en ook geen banden meer met de hackergemeenschap heeft. "Kevin vervuilt de media met zijn onzin. Het feit is dat hij zijn eigen systemen niet kan beveiligen omdat hij niet weet hoe." Vervolgens volgt een lijst van alle bestanden op de server van kevinmitnick.com, waar de aanvallers volledige toegang toe wisten te krijgen.
Naast Mitnick en Kaminsky werd ook een aantal andere mensen en fora gehackt, waaronder vijf Nederlanders wier inloggegevens in het tekstbestand zijn te vinden, wat de aanvallers als magazine publiceerden. In totaal werden er via de gehackte fora en sites meer dan 75.000 wachtwoorden bemachtigd.
"De beveiligingsindustrie is verkloot"
Volgens de aanvallers zouden ze goed kunnen verdienen door beveiliging te verkopen aan mensen die beveiliging verkopen. "Het laat hun werk er wel heel slecht uitzien als ze niet eens zichzelf kunnen beveiligen. Natuurlijk zou hun eigen beveiliging net zo waardevol zijn als dat van hun klanten." De aanvallers zien er vanaf, omdat ze verwachten gearresteerd te worden.
Ook beveiligingsbedrijf Matasano krijgt er flink van langs. "De security scene is verkloot. Je hebt Dan Kaminsky die lezingen geeft over hoe DNS poisoning het einde van de wereld betekent. Je hebt Matasano die talent hamstert en iedereen bekritiseert, en dan Ptacek die alleen met een grafische firewall management client komt. En als toppunt is het jullie nog steeds niet gelukt om Kevin Mitnick kwijt te raken. De industrie maakt het ene jaar zich druk om virtualisatie en het andere jaar over iPhones, waarbij het elk jaar de lessen vergeet die het een jaar eerder had moeten oppikken."
Update 21:53
De vorige link naar "Zero for Owned 5", het magazine waarin alle informatie staat, werkte niet meer. Deze link doet het nog wel.
Update 13:58 - 30 juli
Ook vorige jaargangen zijn te downloaden.
zf01.txt
zf02.txt
zf03.txt
zf04.txt
zf05.txt
Deze posting is gelocked. Reageren is niet meer mogelijk.