Ku przestrodze. Czyli jak wpadł Sabu

Dziś chcę skupić się na innych błędach popełnianych przez „hacktywistów” i wojowników o wolność, które ostatecznie doprowadziły do aresztowań. To kolejne dowody na to, że wystarczy coś zepsuć raz.

Pewnie pamiętasz, że kilkakrotnie wspominałem o Sabu i być może nie wiesz, kim on jest. Sabu był liderem samozwańczej grupy haktywistów zwanej LulzSec. Byli odpowiedzialni za wykorzystywanie luk w zabezpieczeniach serwerów i zamieszczanie wykradzionych informacji w sieci, na strone PasteBin. Zrobili to wiele razy.

Zostali oskarżeni o zhakowanie Fox Broadcasting Company, Sony Pictures Entertainment i Public Broadcasting Service (aka PBS)

W czasie, gdy wszystko to miało miejsce, członkowie grupy utrzymywali kanał IRC, na którym regularnie dyskutowali i przypisywali sobie ataki. Liderem tych ataków był Sabu. Sabu był także łączony ze sprzedażą kradzionych kard kredytowych na Facebooku.

Przez grupę wyciekły tożsamości osób z organów ścigania, użytkowników Sony, a grupa siała spustoszenie wliczając w to ataki DDoS na CIA. FBI poszukiwało Sabu, lidera, który mógłby zostać oskarżony o czyny, mogące skutkować karą 112 lat więzienia. Ale tak jak wspomniałem, wystarczy jeden błąd, by zostać złapanym. To wszystko, czego im trzeba.

Sabu zawsze był ostrożny, ukrywał swoje IP za serwerami proxy. Ale raz tego nie zrobił. Zalogował się na IRC ze swojego własnego IP, nie maskując go. Zrobił to tylko raz. Federalni mieli na niego haka.

Jednakże, nie była to pierwsza jego pomyłka, lecz pierwsza odkryta przez federalnych. Jego tożsamość została odkryta przez inną internetową grupę hakerów, zwaną Backtrace, którzy opublikowali jego tożsamość i lokalizację online tygodnie przed tym zdarzeniem, chcąc odkryć członków LulzSec.

Sabu okazjonalnie wspominał, że posiada domenę zwaną prvt.org w swoich chatach. Każda rejestracja domeny związana jest z powiązaną sabu-fbiinformacją w bazie WHOIS. Ta informacja powinna zawierać imię i adres właściciela domeny.

Często ta informacja jest nieprawdziwa (większość rejestrów domen nie robi nic, by sprawdzić podane dane) lub anonimizowana (wiele firm oferuje rejestrację „proxy” domen, więc baza WHOIS zawiera dane rejestru proxy, a nie osoby korzystającej z domeny). Wydawało się, że Monsegur skorzystał z jednej z tych anonimizujących usług, Domains By Proxy (pomocniczej dla Go Daddy), by zarejestrować domenę prvt.org.

Rejestracja domeny miała wygasnąć 25 czerwca 2011 roku, co wymagało od Monsegura, by ją odnowił. Ale z jakiegoś powodu – być może błędu ze strony Monsegura, a może błędu rejestrującego – odnowienie nie zostało przeprowadzone przez Domains By Proxy, ale przez nadrzędnego Go Daddy. W przeciwieństwie do Domains By Proxy, Go Daddy wykorzystuje rzeczywiste informacje, gdy aktualizuje dane bazy WHOIS, więc 24 czerwca (dzień przed wygaśnięciem) imię, adres i numer telefonu Monsegura zostały publicznie wyświetlone dołączone do nazwy jego domeny.

Monegur szybko naprawił błąd, zmieniając rejestrację WHOIS używając różne inne tożsamości – najpierw Adrian Lamo (który zgłosił Bradleya Manninga na policję), następnie „Ragael Lima”, a w końcu „Christian Biermann”. Ta próba zmyłki polegających na danych WHOIS efektywnie zmyliła niektórych „doxerów”. Ale nie wszystkich: przed sierpniem pojawiły się rozległe dokumentacje na temat prawdziwej tożsamości Sabu.

Dwa błędy, o których wiemy, to wszystko, co wystarczyło, by złapać swego czasu najbardziej poszukiwanego hakera świata. Jeśli znasz historię LulzSec, to wiesz, że swego czasu byli bohaterami mainstreamowych newsów, a Sabu zyskał reputację mistycznego, nietykalnego hakera. Na nieszczęście dla niego, zrobił dwa małe, ale bardzo kosztowne błędy, które skończyły się jego schwytaniem. Ale to nie koniec historii Sabu.

Sabu miał słabość, którą federalni wykorzystali przeciwko niemu, gdy został zatrzymany.

Bezrobotny programista komputerowy, będący na zasiłku i prawny opiekun dwójki małych dzieci.

„To z powodu jego dzieci”, powiedział jeden z dwóch agentów. „Zrobiłby wszystko dla swoich dzieci. Nie chciał iść do więzienia i ich opuścić. W ten sposób go mieliśmy.

Monsegur został po cichu aresztowany na podstawie zarzutów kradzieży tożsamości i zwolniony za kaucją. 15 sierpnia przyznał się do licznych zarzutów związanych z hakerstwem i zgodził się na współpracę z FBI.”

Więc kiedy walczysz online, musisz zadać sobie pytanie. Co mam do stracenia? Czy mam żonę? Dzieci? Co mogłoby się stać, gdybym miał wszystko stracić, i miałbym zostać zamkniętym na 10-20 lat, czy dałbym sobie z tym radę? Jeśli zdecydujesz, że chcesz to wszystko zaryzykować, musisz nauczyć się na błędach tych, którzy wpadli przed Tobą. Zapytaj siebie, co zrobiłbyś, jeśli byłbyś postawiony w trudnej sytuacji, gdy miałbyś do wyboru życie w więzieniu a współpracę, by ujrzeć swoją własną rodzinę. Możesz myśleć teraz, że nie sypniesz, ale być może myślałbyś inaczej, gdy śledczy groziliby Ci odebraniem ich na zawsze.

Gdy FBI dotarli do lidera grupy LulzSec i nakłonili go do współpracy, nie stracili już wiele czasu, by były haker sypnął swych przyjaciół i pomógł w ich aresztowaniu.

Kontynuacja w następnym poście.

Cyfrowa Matka

Może Ci się również spodoba

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *