Goatse Security - Goatse Security

Goatse Security
он же GoatSec[1][2]
Goatse Security Logo.png
Логотип Goatse Security
ФормированиеДекабрь 2009 г.; 11 лет назад (2009-12)[3]
ЦельВзлом
Членство
Эндрю «weev» Ауэрнхаймер[4][5]
Сэм Хосевар[4][6][7]
Дэниел Спитлер[4][8]
Леон Кайзер[2][4]
Ник "Rucas" Прайс[4][9][10]
Товары
Clench[11][12]
Интернет сайтбезопасность.goatse.fr (несуществующий)

Goatse Security (GoatSec) это дружный, девяти человек[14] серая шляпа[15] группа хакеров[16] которая специализируется на обнаружении недостатков безопасности.[3][17] Это подразделение антиблоггинга. Интернет-троллинг организация известная как Ассоциация геев-негров Америки (GNAA).[2] Группа получила свое название от Goatse.cx шоковый сайт,[5] и он выбрал "Открытые дыры" в качестве лозунг.[13] Сайт был закрыт без обновления с мая 2014 года.[18]

В июне 2010 года Goatse Security получила адрес электронной почты примерно 114 000 пользователей Apple iPad. Это привело к ФБР расследование и предъявление уголовных обвинений двум членам группы.

Основание

В состав GNAA входило несколько исследователей безопасности. По словам представителя Goatse Security Леон Кайзер, GNAA не могли полностью использовать их таланты, поскольку группа считала, что не будет никого, кто серьезно отнесется к данным безопасности, опубликованным GNAA. Чтобы создать среду, через которую члены GNAA могут публиковать свои выводы о безопасности, GNAA в декабре 2009 года создало Goatse Security.[2][3]

Обнаружение уязвимостей браузера

Чтобы защитить свой веб-браузер от межпротокольная эксплуатация, Mozilla заблокировал несколько порты который HTML-формы обычно не имеет доступа к. В январе 2010 года GNAA обнаружило, что блоки Mozilla не покрывают порт 6667, что сделало браузеры Mozilla уязвимыми для межпротокольных скриптов. GNAA разработала JavaScript -основан эксплуатировать чтобы наводнение IRC каналы. Несмотря на то что EFnet и OFTC смогли заблокировать атаки, Freenode изо всех сил пытался противодействовать атакам. Goatse Security обнаружил уязвимость, и один из ее членов, Эндрю Ауэрнхаймер, он же "долгоносик, "разместил информацию об эксплойте на Драматическая энциклопедия.[19][20][21]

В марте 2010 года Goatse Security обнаружила целочисленное переполнение уязвимость в веб-браузере Apple, Сафари, и разместил эксплойт в Encyclopedia Dramatica.[22] Они выяснили, что человек может получить доступ к заблокированному порту, добавив 65 536 к номеру порта.[23][24] Эта уязвимость также была обнаружена в Арора,[25] iCab,[26] OmniWeb,[27] и нержавеющая сталь.[28] Хотя Apple исправила ошибку для настольных версий Safari в марте, компания не исправила ошибку в мобильных версиях браузера.[22][29] Goatse Security заявила, что хакер может использовать уязвимость мобильного Safari, чтобы получить доступ и причинить вред Apple. iPad.[22][29]

Утечка адреса электронной почты AT&T / iPad

В июне 2010 года Goatse Security обнаружила уязвимость в AT&T интернет сайт.[30][31] AT&T была единственным поставщиком 3G услуга для яблоко с iPad в Соединенные Штаты в то время.[32] При подписке на услугу 3G AT&T с iPad, AT&T получает ICC-ID с iPad сим-карта и связывает его с адресом электронной почты, указанным при регистрации.[30][33] Чтобы упростить процесс входа в систему с iPad, веб-сайт AT&T получает ICC-ID SIM-карты и предварительно заполняет поле адреса электронной почты адресом, указанным во время регистрации.[30][33] Goatse Security поняла это, отправив HTTP-запрос с действующим идентификатором ICC-ID, встроенным в него на веб-сайте AT&T, на веб-сайте будет отображаться адрес электронной почты, связанный с этим идентификатором ICC-ID.[30][33]

5 июня 2010 г. Дэниел Спитлер, также известный как «JacksonBrown», начал обсуждение этой уязвимости и возможных способов ее использования, включая фишинг, на канале IRC.[8][34][35] Goatse Security построила PHP -основан грубая сила сценарий, который будет отправлять HTTP-запросы со случайными идентификаторами ICC-ID на веб-сайт AT&T до тех пор, пока не будет введен законный идентификатор ICC-ID, который вернет адрес электронной почты, соответствующий идентификатору ICC-ID.[30][33] Этот сценарий был назван «Slurper учетной записи iPad 3G».[35]

Затем Goatse Security попыталась найти подходящий источник новостей для раскрытия утекшей информации, а Ауэрнхаймер попытался связаться с News Corporation и Thomson Reuters руководители, в том числе Артур Сискинд, о проблемах безопасности AT&T.[36] 6 июня 2010 года Ауэрнхаймер отправил электронные письма с восстановленными идентификаторами ICC-ID, чтобы проверить свои утверждения.[34][36] Журналы чатов за этот период также показывают, что внимание и публичность могли быть стимулами для группы.[37]

Вопреки тому, что было заявлено вначале, группа изначально раскрыла уязвимость безопасности Gawker Media перед уведомление AT&T[37] а также раскрыли данные 114 000 пользователей iPad, в том числе знаменитостей, представителей правительства и военных. Эта тактика снова вызвала серьезные дебаты о надлежащем раскрытии недостатков ИТ-безопасности.[38]

Ауэрнхаймер утверждал, что Goatse Security использовала общепринятые отраслевые стандарты, и сказал: «Мы старались быть хорошими парнями».[38][39] Дженнифер Граник из Фонд электронных рубежей также защищает тактику, используемую Goatse Security.[38]

14 июня 2010 г. Майкл Аррингтон из TechCrunch наградил группу премией Crunchie за общественную службу. Это был первый раз, когда Crunchie был присужден вне рамок ежегодной церемонии награждения Crunchies.[40][41]

В ФБР затем начал расследование инцидента,[42] что привело к возбуждению уголовного дела в январе 2011 г.[10] и рейд на дом Ауэрнхаймера. Обыск был связан с расследованием AT&T, и впоследствии Ауэрнхаймер был задержан и освобожден под залог.[43] по государственным обвинениям в наркотиках,[44] позже упал.[45] После освобождения под залог он сломал приказ о приколе протестовать и оспаривать законность обыска в его доме и отказ в доступе к государственный защитник. Он также попросил пожертвования через PayPal, чтобы покрыть судебные издержки.[16][46] В 2011 году Министерство юстиции объявило, что ему будет предъявлено обвинение по одному пункту обвинения в сговоре с целью получения доступа к компьютеру без разрешения и по одному пункту обвинения в мошенничестве.[45] Сообвиняемый Дэниел Спитлер был освобожден под залог.[47][48]

20 ноября 2012 года Ауэрнхаймер был признан виновным по одному пункту обвинения в мошенничестве с личными данными и одному пункту обвинения в сговоре с целью получения доступа к компьютеру без разрешения.[49] и твитнул что он подаст апелляцию.[50] Алекс Пилосов, друг, который также присутствовал при вынесении решения, написал в Твиттере, что Ауэрнхаймер останется на свободе под залог до вынесения приговора, «который истечет не менее чем через 90 дней».[51]

29 ноября 2012 г. Ауэрнхаймер написал статью в Проводной журнал под названием «Забудьте о разглашении - хакеры должны держать дыры в безопасности при себе», призывая к раскрытию любых эксплойт нулевого дня только тем, кто будет «использовать это в интересах социальной справедливости».[52]

11 апреля 2014 года Третий округ вынес решение об отмене приговора Ауэрнхаймера на том основании, что место проведения в Нью-Джерси было неподходящим.[53][54] Судьи не рассматривали существенный вопрос о законности доступа к сайту.[55] Он был освобожден из тюрьмы поздно вечером 11 апреля.[56]

Прочие достижения

В мае 2011 г. DoS уязвимость затрагивает несколько Linux распространение было раскрыто Goatse Security после того, как группа обнаружила, что Расширенный инструмент упаковки URL вызовет compiz разбиться.[57]

В сентябре 2012 года Goatse Security получил кредит от Microsoft за помощь в защите своих онлайн-сервисов.[9]

Рекомендации

  1. ^ Тейт, Райан (9 июня 2010 г.). «AT&T борется с распространением страха перед iPad». Valleywag. Gawker Media. Архивировано из оригинал 15 июля 2010 г.. Получено 17 октября, 2010.
  2. ^ а б c d Кайзер, Леон (19 января 2011 г.). «Интервью: Goatse Security об обвинениях ФБР после взлома AT&T iPad». DailyTech (Интервью: стенограмма). Беседовал Мик Джейсон. Архивировано из оригинал 31 марта 2014 г.. Получено 21 января, 2011.
  3. ^ а б c Доуэлл, Эндрю (17 июня 2010 г.). "Программист задержан после обыска ФБР". Журнал "Уолл Стрит. Dow Jones & Company, Inc. Получено 11 октября, 2010.
  4. ^ а б c d е "Команда". Goatse Security. Goatse Security. 14 июня 2010 г.. Получено 22 сентября, 2010.
  5. ^ а б Чокши, Нирадж (10 июня 2010 г.). «Познакомьтесь с одним из хакеров, обнаруживших утечку информации о iPad». Атлантический океан. The Atlantic Monthly Group. Получено 16 сентября, 2010.
  6. ^ Кейзер, Грегг (17 июня 2010 г.). «Хакер iPad арестован по нескольким обвинениям в наркотиках после обыска ФБР». Computerworld. Computerworld Inc. Получено 16 сентября, 2010.
  7. ^ Мик, Джейсон (14 июня 2010 г.). «AT&T приносит свои извинения покупателям iPad, мы выяснили, где находятся хакеры». DailyTech. DailyTech LLC. Получено 16 сентября, 2010.
  8. ^ а б Билтон, Ник; Уортам, Дженна (18 января 2011 г.). «Двое обвиняются в мошенничестве при взломе iPad». Нью-Йорк Таймс. Компания New York Times. Получено 21 января, 2011.
  9. ^ а б «Благодарности исследователя безопасности для Microsoft Online Services». Microsoft. Получено 19 октября, 2012.
  10. ^ а б Окружной суд США - Окружной суд Нью-Джерси, Дело: MAG 11-4022 (CCC). Подано в суд 13 января 2011 г.
  11. ^ "Clench, наш способ сказать" пошли вы "на SSL PKI навсегда". Goatse Security. Goatse Security. 8 сентября 2010 г.. Получено 29 октября, 2010.
  12. ^ Лоусон, Нейт (8 сентября 2010 г.). «Clench уступает TLS + SRP». root labs rdist. Нейт Лоусон. Получено 29 октября, 2010.
  13. ^ а б Рэган, Стив (10 июня 2010 г.). «AT&T теряет 114 000 адресов электронной почты из-за ошибки сценария». The Tech Herald. WOTR Limited. Архивировано из оригинал 18 ноября 2011 г.. Получено 28 сентября, 2010.
  14. ^ Ынджунг Ча, Ариана (12 июня 2010 г.). «Нарушение безопасности Apple iPad выявило уязвимость мобильных устройств». Вашингтон Пост. Получено 6 апреля, 2011.
  15. ^ Кирш, Кассандра (2014). «Хакер в серой шляпе: примирение реальности киберпространства и закона» (PDF). Обзор законодательства Северного Кентукки. 41: 386.CS1 maint: ref = harv (связь)
  16. ^ а б `` Хакер '' iPad от AT&T нарушил запрет на кляп, чтобы разглагольствовать над копами Реестр, Джон Лейден. 7 июля 2010 г.
  17. ^ Тейт, Райан (10 июня 2010 г.). «Взлом Apple iPad вызывает тревогу». Все учтено (Интервью: аудио / стенограмма). Беседовал Мелисса Блок. Национальное общественное радио. Получено 16 сентября, 2010.
  18. ^ http://security.goatse.fr/compiz-denial-of-service-vulnerability
  19. ^ Константин, Лучиан (30 января 2010 г.). «Ошибка Firefox, используемая для преследования всей IRC-сети». Софтпедия. Софтпедия. Получено 19 сентября, 2010.
  20. ^ Гудин, Дэн (30 января 2010 г.). «Атака на Firefox наносит серьезный ущерб пользователям IRC». Реестр. Публикация ситуации. Получено 19 сентября, 2010.
  21. ^ Гудин, Дэн (9 июня 2010 г.). «Ошибка безопасности выявляет адреса элитных iPaders». Реестр. Публикация ситуации. Получено 19 сентября, 2010.
  22. ^ а б c Кейзер, Грегг (14 июня 2010 г.). «AT&T« нечестно »в отношении угрозы атаки на iPad, говорят хакеры». Computerworld. Computerworld Inc. Получено 18 сентября, 2010.
  23. ^ Рэган, Стив (14 июня 2010 г.). "Goatse Security сообщает AT&T:" Вы облажались'". The Tech Herald. WOTR Limited. п. 2. Архивировано из оригинал 3 октября 2011 г.. Получено 6 октября, 2010.
  24. ^ "CVE-2010-1099". Национальная база данных уязвимостей. NIST. 24 марта 2010 г.. Получено 6 октября, 2010.
  25. ^ "CVE-2010-1100". Национальная база данных уязвимостей. NIST. 24 марта 2010 г.. Получено 6 октября, 2010.
  26. ^ "CVE-2010-1101". Национальная база данных уязвимостей. NIST. 24 марта 2010 г.. Получено 6 октября, 2010.
  27. ^ "CVE-2010-1102". Национальная база данных уязвимостей. NIST. 24 марта 2010 г.. Получено 6 октября, 2010.
  28. ^ "CVE-2010-1103". Национальная база данных уязвимостей. NIST. 24 марта 2010 г.. Получено 6 октября, 2010.
  29. ^ а б Гольдман, Дэвид (14 июня 2010 г.). «Хакеры говорят, что у iPad больше дыр в безопасности». CNNMoney.com. CNN. Получено 18 сентября, 2010.
  30. ^ а б c d е Кейзер, Грегг (10 июня 2010 г.). "'Скрипт грубой силы перехватил адреса электронной почты iPad ". Computerworld. Computerworld Inc. Получено 18 сентября, 2010.
  31. ^ Тейт, Райан (9 июня 2010 г.). «Худшее нарушение безопасности Apple: разоблачено 114 000 владельцев iPad». Valleywag. Gawker Media. Архивировано из оригинал 26 июля 2010 г.. Получено 16 сентября, 2010.
  32. ^ Анте, Спенсер Э. (10 июня 2010 г.). «AT&T раскрыла нарушение данных владельцев iPad». Журнал "Уолл Стрит. Dow Jones & Company, Inc. Получено 26 сентября, 2010.
  33. ^ а б c d Бьюкенен, Мэтт (9 июня 2010 г.). «Маленькая особенность, которая привела к взлому безопасности iPad от AT&T». Gizmodo. Gawker Media. Получено 22 сентября, 2010.
  34. ^ а б Уголовная жалоба В архиве 25 января 2011 г. Wayback Machine. Окружной суд США - Окружной суд Нью-Джерси, Дело: MAG 11-4022 (CCC). Подано в суд 13 января 2011 г.
  35. ^ а б Вореакос, Дэвид (18 января 2011 г.). «США объявляют о взимании платы за предполагаемый взлом серверов AT&T с помощью пользователей iPad». Bloomberg.com. Bloomberg L.P. Получено 21 января, 2011.
  36. ^ а б Макмиллан, Роберт (15 декабря 2010 г.). "AT&T IPad Hacker боролся за внимание СМИ, выставка документов". Компьютерный мир. PC World Communications, Inc. Получено 16 декабря, 2010.
  37. ^ а б Форсман, Крис (19 января 2011 г.). «Тролли из Goatse Security преследовали« макс лол »во взломе AT&T iPad». Ars Technica. Получено 22 января, 2011.
  38. ^ а б c Уортен, Бен; Спенсер Э. Анте (14 июня 2010 г.). "Компьютерные эксперты сталкиваются с негативной реакцией". WSJ.com.
  39. ^ Лейдон, Джон (7 июля 2010 г.). «AT&T iPad 'хакер' нарушает запрет на кляп, чтобы разглагольствовать над копами». Реестр. Получено 16 февраля, 2011.
  40. ^ Аррингтон, Майкл (14 июня 2010 г.). «Мы присуждаем Goatse Security премию Crunchie за государственную службу». Технический кризис. Получено 31 марта, 2010.
  41. ^ Паттерсон, Бен (14 июня 2010 г.). «AT&T приносит извинения за взлом iPad и обвиняет хакеров». Yahoo! Новости. Получено 31 марта, 2010.
  42. ^ Тейт, Райан (9 июня 2010 г.). «Худшее нарушение безопасности Apple: разоблачено 114 000 владельцев iPad». Gawker.com. Gawker Media. Архивировано из оригинал 12 июня 2010 г.. Получено 13 июня, 2010.
  43. ^ Эмспак, Джесси; Перна, Габриэль (17 июня 2010 г.). «Веб-сайт арестованного хакера раскрывает экстремистские взгляды». International Business Times. International Business Times. Получено 11 июля, 2010.
  44. ^ Доуэлл, Эндрю (17 июня 2010 г.). "Программист задержан после обыска ФБР". Журнал "Уолл Стрит.
  45. ^ а б «Уголовное дело против злоумышленников AT&T iPad - Computerworld». 18 января 2011 г.
  46. ^ долгоносик. «Лицемеры и фарисеи». Goatse.fr.
  47. ^ Фойгт, Курт (21 января 2011 г.). «Отсутствие залога за второго подозреваемого в краже адреса электронной почты iPad». MSNBC.com. Ассошиэйтед Пресс. Получено 15 февраля, 2011.
  48. ^ Портер, Дэвид (28 февраля 2011 г.). «Подозреваемый в краже данных с iPad освобожден под залог в Нью-Джерси». ABC News. Ассошиэйтед Пресс. Получено 2 марта, 2011.
  49. ^ Зеттер, Ким (20 ноября 2012 г.). «Хакер признан виновным в взломе сайта AT&T с целью получения данных клиентов iPad | Уровень угрозы | Wired.com».
  50. ^ «Статус Twitter, 15:38 - 20 ноября 12».
  51. ^ «Статус в Twitter, 15:32 - 20 ноября 12».
  52. ^ Биренд, Дуг (29 ноября 2012 г.). «Забудьте о разглашении - хакеры должны держать дыры в безопасности при себе». Проводной.
  53. ^ Дело: 13-1816 Документ: 003111586090
  54. ^ Кравец, Давид (11 апреля 2014 г.). "Апелляционный суд отменяет осуждение и приговор хакеру / троллю" долгоносику ". Ars Technica. Получено 11 апреля, 2014.
  55. ^ Хилл, Кашмир (11 апреля 2014 г.). "Weev Freed, но суд не понимает более серьезного вопроса" взлом против исследования безопасности ". Forbes. Получено 11 апреля, 2014.
  56. ^ Вореакос, Дэвид (14 апреля 2014 г.). «AT&T Hacker 'Weev' вечеринки и твиты, пока дело не исчезнет». Bloomberg. Получено 14 апреля, 2014.
  57. ^ Константин, Лучиан (16 мая 2011 г.). «Опасная уязвимость Linux, связанная с отказом в обслуживании, признана нулевой». Софтпедия. Получено 25 марта, 2014.

внешняя ссылка