Kulisy sławnych włamań #2

Your Logo Here Zimowisko Linuksowe 2014 Marcin Stępnicki Kulisy sławnych włamań #2

Silkroad Dread Pirate Roberts - Ross William Ulbricht Expectations:

Silkroad Reality

Silkroad sprzedaż: 1.2 mld $. Narkotyki, dokumenty, usługi czarnorynkowe. Monitorowanie aktywności DPR na forum, Przechwycenie zawartości dysków (włamanie do OVH): komunikacja DPR z administratorami nieszyfrowana, Zlecenie zabójstwa FriendlyChemista Źródło: http://www.scribd.com/doc/172764080/ulbricht-criminal-complaint

Silkroad Shroomery altoid, 27.01.2011 Dane z wordpress.com Post na forum I came across this website called Silk Road. It's a Tor hidden service that claims to allow you to buy and sell anything online anonymously. I'm thinking of buying off it, but wanted to see if anyone here had heard of it and could recommend it. I found it through silkroad420.wordpress.com, which, if you have a tor browser, directs you to the real site at http://tydgccykixpbu6uz.onion. Let me know what you think...

Silkroad Bitcointalk.org altoid, Szukasz pracy? - rossulbricht@gmail.com Dane użytkownika z Google Profil na Google+ i YT, zainteresowania Mises IP z Gmaila / geolokacja kolega z YT Strefa czasowa

Silkroad Analiza serwera Dostęp dla konkretnego IP z VPNa z certain server-hosting company. Połączenie z VPNem z IP kawiarenki z San Francisco. Przesyłka z fałszywymi ID

Silkroad Stack Overflow: Konto Ross Ulbricht, pytanie o Hidden Services z kodem Zmiana nicka i maila na frosty - 1 min. później Ten sam kod na serwerze frosty@frosty - klucze ssh

Wikileaks Cables.csv Daniel Domscheit-Berg & David Leigh

Wikileaks The Guardian journalist had to set up the PGP encryption system on his laptop at home across the other side of London. Then he could feed in a password. Assange wrote down on a scrap of paper: ACollectionOfHistorySince_1966_ToThe_PresentDay#. That s the password, he said. But you have to add one extra word when you type it in. You have to put in the word Diplomatic before the word History Can you people to theremember that? I can remember that. Leigh set off home, and successfully installed the PGP software. He typed in the lengthy password, and was gratified to be able to download a huge file from Assange s temporary website. Then he realized it was zipped up compressed using a format called 7z which he had never heard of, and couldn t understand. He got back in his car and drove through the deserted London streets in the small hours, to Assange s headquarters in Southwick Mews. Assange smiled a little pityingly, and unzipped it for him. Źródło: WikiLeaks: Inside Julian Assange's War on Secrecy, David Leigh, Luke Harding

Fizyczne włamanie do Selective Service https://www.schneier.com/blog/archives/2014/02/1971_social_eng.html

OVH Silkroad, Freedom Hosting, Tormail Incydent parę dni po przechwyceniu przesyłki do DPR przez konto pracownika, 10 lipca Lista klientów, serwer z domyślnymi kluczami ssh

OVH Między 22 lipca 2013 a 2 sierpnia 2013, w powiązaniu z innym śledztwem, FBI otrzymało w oparciu o Traktat o Wzajemnej Pomocy Prawnej z Francją kopię komputera zlokalizowanego we Francji, który zawierał dane i informacje z serwera poczty Tormail, włączając w to zawartość skrzynek pocztowych Tormail. W oparciu o Traktat o Wzajemnej Pomocy Prawnej 23 lipca lub w okolicy tego dnia wykonano, a następnie przekazano FBI, obraz serwera www Silk Road. OVH: W ciągu ostatnich kilku miesięcy mieliśmy do czynienia z kilkoma postępowaniami prawnymi związanymi z użyciem sieci Tor do rozpowszechniania pedofilii i obecnie zakazujemy korzystania z niej tak jak i z innych systemów anonimizujących. Zwiększają one poziom nadużyć oraz ilość zapytań organów ścigania. FBI w oficjalnym komunikacie dziękuje francuskiemu oddziałowi ds. zwalczania przestępczości internetowej za wsparcie w sprawie Silk Road źródło: Zaufana Trzecia Strona

Anakata Applicate - InfoTorg 5 adresów z Ludviki dirox Dane o sobie Źródło: http://zaufanatrzeciastrona.pl/historia-pewnego-wlamania/

Anakata ciekawość to pierwszy stopień do piekła

Anakata tlt @ #hack.se dirox miał dostęp do serwera od 2010 roku FTP AVIY356 konto szwedzkiego parlamentu do automatycznego transferu plików klon konfiguracji exploity: HTTP i CNMUNIX

Anakata Follow the white rabbit

Anakata Konta 120000 użytkowników Manipulacja uprawnieniami Backdoory: Dodatkowy serwer /bin/sh w inetd CSQXDISP: połączenie poza firmę na port 443 Własny klucz dopisany do.ssh/authorized_keys

Anakata Używane toole: REXX HLASM (asm z/architecture) JCEL

Anakata Analiza dirox, logi #hack.se

Anakata <tlt> port 443: listening. <tlt> waiting for the APTback<TM>... <tlt> alert!!! advancing port 443 threat! <tlt> accepted persistent tcp connection from 93.186.170.54:26773 <tlt> $APTM1337 ENTERING ADVANCED PRINTER/TYPEWRITER MODE <tlt> pwd <tlt> uname -a ; id <tlt> 0S/390 SYS19 22.00 03 2817 <tlt> uid=2147483647(bpxdfltu) gid=548400(e484) <tlt> chmod 755 /tmp/duku <tlt> l3tz g3t us s0m3 0f d4t r00t!@# <tlt> eu: 0 u: 0 g: 0 <tlt> g0t r00t? <tlt> id <tlt> uid=0(superusr) gid=0(stcgroup) groups=548400(e484)

Anakata Połączenia z Kambodży do serwerów Logica Wyszukiwania w InfoTorg konto Monique Wadstedt (prawniczka vs TBP) + anakata Przechwycenie dysków: TrueCrypt Przechwycenie laptopa + logi Deportacja

Anakata Nordea Te same exploity co w Logica Bank nie poinformował policji mimo przelewów na 3mln PLN z cudzych rachunków z wyjątkiem pierwszego resztę zablokowano Atak z terminala, nie przez interfejs www Wszystkie zrzuty ekranu były na dysku

Anakata Terminal

Anakata Dodatki sprawa w toku: System duńskiej policji Baza duńskich praw jazdy System Informacyjny Schengen

Gówniana sprawa Bidet, woda, suszarka, klapa Źródło: Niebezpiecznik.pl

Kupowanie tożsamości Ssnob.ms (0.50$ - 15$) UGNazi exposed.su, dla celebrytów Ssnob hacked, baza wykradziona Własny botnet Źródło: Krebs on Security

Kupowanie tożsamości on-demand employment background screening, drug and health screening, and employment eligibility solutions that help employers automate, manage and control employment screening and related programs LexisNexis provides information to business, government and legal professionals for legitimate, approved purposes. This information includes public records, other publicly available information and some non-public information. Examples of public records include the following: Judgments and Liens, Secretary of State filings, Uniform Commercial Code filings, U.S. and Canadian business finder directories, Dun & Bradstreet Global Market Identifiers Worldbase, Experian Business Reports, Fictitious Business Name Information (DBA or doing business as), Dun & Bradstreet Federal Employer Identification Numbers, the Franchise Index, an inactive business index, tax liens, Securities of Exchange Commission Form 4 abstracts, FAA aircraft registrations D&B is the world's leading source of commercial information and insight, enabling companies to Decide with Confidence since 1841. D&B's global commercial database contains more than 225 million business records, which we compile through a wide variety of commercial partners and public sources.

Kupowanie tożsamości Dane o historii kredytowej ważne przy przyznawaniu nowych kredytów U kogo? Ile? Ostatnia rata? Poprzedni adres? Itd. Więcej błędów u prawdziwych klientów Inne dane do uwierzytelniania

Kupowanie tożsamości Baza:

Kupowanie tożsamości Atak na serwery webowe, niezałatane Coldfusion - z nich dostęp do wewnątrz, Dodatkowa aplikacja komunikacja z wewnątrz sieci do kontrolera na zewnątrz, Reseller dla innych kolejne źródło dochodu, Raporty po usunięciu zagrożenia nadal generowane from law student ID

Kupowanie tożsamości

Kupowanie tożsamości Dodatek: National White Collar Crime Center Internet Crime Complaint Center Niezałatany serwer VPN serwery webowe z niezałatanym Coldfusion http://www.exploit-db.com/exploits/24946/ http://www.exploit-db.com/exploits/25305 http://www.exploit-db.com/exploits/27755/ http://www.exploit-db.com/exploits/14641/ http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2010-2861

Kupowanie tożsamości I1211100143194982, Kernersville Police Dept., 174.98.xxx.xxx, 2012-11-10 01:43:19, 2012-11-10 01:47:01, I was on an adult website (I don\ t know which one) when suddenly a screen popped up that had the FBI logo at the top and all this information about my having violated copyright laws or child pornography laws and my computer had been locked by the FBI and if I didn t pay a $300 fine within 72 hours by MoneyPak a criminal charge would automatically be filed and I would go to prison for 2 to 12 years.

Konto na Twitterze Scenariusz: Konto @n na Twitterze Mail podpięty pod domenę zarezerwowaną na GoDaddy Konto PayPal

Konto na Twitterze Najlepsze urządzenie hakerskie

Konto na Twitterze Telefon do Paypala jako pracownik 4 ostatnie cyfry karty Telefon do GoDaddy zagubienie karty, 4 ostatnie+2 pierwsze cyfry reset hasła Zmiana DNSa w GoDaddy Inicjalizacja resetu hasła na Twitterze Wolna propagacja DNSa Mail od włamywacza

Konto na Twitterze Sygnały: sms z PayPala two-factor auth zadziałał, Logowanie na maila mail z GoDaddy Telefon do GoDaddy dane już zmienione Konto zostało oddane w zamian za hasło do GoDaddy Źródło: http://niebezpiecznik.pl/post/jak-przejac-czyjes-konto-na-twitterze-nie-znajac-hasla/

Hack The Planet.edu EDUCAUSE Pierwsze logowanie udane we can't say we expect much from a registrar running ASPX on their backend - zmiana DNSów MIT na Cloudflare Zmiana rekordu MX root server Źródło: http://www.exploit-db.com/papers/25306/

Hack The Planet Drobna zmiana Domain Name: MIT.EDU Registrant: Massachusetts Institute of Technology Cambridge, MA 02139 UNITED STATES Administrative Contact: I got owned Massachusetts Institute of Technology MIT Room W92-167, 77 Massachusetts Avenue Cambridge, MA 02139-4307 UNITED STATES (617) 324-1337 cunt@mit.edu Technical Contact: OWNED NETWORK OPERATIONS ROOT US DESTROYED, MA 02139-4307 UNITED STATES (617) 253-1337 owned@mit.edu Name Servers: FRED.NS.CLOUDFLARE.COM KATE.NS.CLOUDFLARE.COM Domain record activated: 23-May-1985 Domain record last updated: 22-Jan-2013 Domain expires: 31-Jul-2013

Hack The Planet Korespondencja From: "CloudFlare Support" <support@cloudflare.com> Subject: [CloudFlare Support] Pending request: Why is cloudflare staff modifying my dns records? (ticket #12053) Date: Wed, January 23, 2013 4:48 pm To: "Fuckmit" <fuckmit@tormail.org> Justin, Jan 22 11:48 am (PST) Hi, We have reason to believe you are not the actual owner of the mit.edu domain. We have been in contact with the actual owner this morning. As such we have taken steps to secure the account, and the domain has already been returned to the actual owner. ---------------------------------------------Fuckmit, Jan 22 11:45 am (PST) Two questions: Why is cloudflare staff modifying my dns records without authorization? Why is cloudflare staff repeatedly regenerating my API key every time they decide to modify my dns records without authorization?

THE END