Fast forward to now. They both got arrested. One (the scripter, Daniel Spitler) pleaded guilty and is still awaiting sentence and the other (Andrew Auernheimer aka ‘Weev’, who found the vulnerability) just got 41 months in jail and has it is expected that he and his ‘co-researcher’ have to pay restitution in the vicinity of 73000 USD. (http://www.wired.com/threatlevel/2013/03/att-hacker-gets-3-years/)

Let me first start with saying that the typical hacker would possibly score very high on the autism spectrum, lacking certain empathy and not have a keen sense on where social boundaries are.

From the part of the defense in this case I’d have gone down this track: with a psych-profile. The NASA-hacker Gary McKinnon was diagnosed with aspergers syndrome and this helped in his defense against extradition to the US from the UK. (http://en.wikipedia.org/wiki/Gary_McKinnon)

Looking closer at the AT&T hack case, these hackers did two things wrong when they found the vulnerability:

1) They did not report the vulnerability to AT&T first, but to journalists.

This caused damage to AT&Ts reputation, and generally this type of action pisses off a company enough that they want to put you behind bars. (AT&T has a bad reputation already, expensive and being commercial greedy bastards with very bad customer service… but what would you expect from a telco)

I believe the vulnerability was not deliberately created by AT&T. The hackers should have reported it to AT&T first, with a proof of concept with just a few email-addresses and enough information for the AT&T developers to fix it. After it was fixed they could have published a statement together with AT&T that they fixed a privacy issue. Kudo’s for the hackers and for AT&T, cake for all!

2) Through a bit of clever scripting they tried the complete range of id-numbers to get a huge list of email-addresses (~117.000) through the vulnerability.

This is absolutely ridiculous, why do you need to check the complete range if you just need a proof of concept? Autists…. I am anxious to know what the other guy (Spitler) will get.

Looking at these actions and not taking into account that the hackers were possibly autistic… could explain the sentence. The only damage done was not to the users and/or the IT-systems, but to AT&T’s reputation. And that damage in my opinion does not compare to a prison sentence of 41 months.

This ruling could also be seen as highly counterproductive to the security of AT&T and other companies who would react in this way, and here’s why:

Ask yourself: What will an autistic guy (and other hackers who sympathize with him) learn from this?

– Simple; never report shit like this again!

It is in their nature to look for vulnerabilities, this is play/fun to them. But this ruling will likely push them to share the vulnerabilities they found on deep-web hacker forums for kudo’s (honor system) or possibly even sell them on the black market (cold hard cash). Both will end up badly for the companies, they will be attacked in the end by folks who want to do a lot more than just prove that they found a vulnerability.

I read somewhere that a remote iPhone/iPad exploit that would enable an attacker to take over that device remotely without user intervention would gross about $400.000 US on the black market? That’s right… we’re talking about serious money. Once these guys score, and get recruited by the digital crime syndicates, combined with their lack of social boundaries you could say you have a real problem.

A good defense in IT-security is done by an open defense. A good ‘responsible disclosure‘ procedure for ‘white-hat’ or ethical hackers should be published and promoted by companies like AT&T. Herein they should put out the rules of the game should vulnerabilities be found in their systems. A couple of sites and companies do this, and they get better security through this. These companies include Facebook & Google, it seems to work for them. Good read is the paper from Weis referenced on the responsible disclosure wikipedia page http://en.wikipedia.org/wiki/Responsible_disclosure

It’s quick and dirty, I don’t run a firewall on my server as my router is my main firewall. I do however want to block access to all services should someone/something trigger denyhosts.

Here’s the script.

-- denyhosts2iptables.sh:


#!/bin/bash

# remove the lock file
rm /var/run/denyhosts2iptables


The line for your crontab
* * * * * root /PATH_TO/denyhosts2iptables.sh
I’ve tested this on a huge hosts.deny file with over 3000 records, it loads in about 0.1 seconds.

And here’s a nice breakdown of 2 years of denyhosts ip blocks, on originating country.

Een ounce (28gr) goud kost nu zo’n € 1250. (Goldprice.org)
Een MicroSD van 0,5 gram met een capaciteit van 32Gb kost € 22 (tweakers-pricewatch).
Een nummer uit de iTunes store kost €1 voor 4Mb (iTunes).
Even uitrekenen hoeveel 28gr aan volle MicroSD kost:

Hardware: 56 kaartjes * € 22 per stuk = € 1232
Tracks: 56 kaartjes * 8000 tracks * € 1 per stuk = € 448000,-
Grand Total: € 449.232,-

It’s true folks, 28 gram aan MicroSD gevuld muziek is ongeveer 500x meer waard dan goud en ongeveer net zoveel waard als twee leuke opknapperts in het Havenkwartier van Hillywood…

Maarrr, hoeveel is het waard als we het baseren op illegale mp3tjes? In de US van A is de schade per mp3 gezet op 150000USD…

Even snel doorrekenen en we komen uit op 56*8000*150000 = 67.200.000.000 USD

Copyright math is gaaf en goudeerlijk!

Ik vraag me af hoe ze informatiebeveiliging doen bij defensie. Zoiets moeten ze wel hebben. Blijkbaar is de risicoanalyse niet (goed?) gedaan bij het project voor dit systeem. Steken vallen overal wel een keer, dit is bijzonder pijnlijk en geeft aan dat er beter informatiebeveiliging moet worden gedaan.

Niet verwarren met IT-beveiliging! Informatiebeveiliging is veel breder dan dat en heeft impact op veel meer dingen dan hoe IT-systemen gebruikt en gekoppeld worden.

Dit is niet een fout van de ICT-afdeling. Dit is een organisatorisch probleem en komt neer op een slechte informatiebeveiliging en een falende Security-afdeling. Die zouden moeten toezien op de juiste beveiligingsmaatregelen bij de implementatie van dit soort systemen.
Vooral de triviale dingen zoals een videoconferencingsysteem vallen vaak bij security buiten de boot omdat ze niet als belangrijk worden gezien. Foute inschatting, de nadruk bij dat soort systemen ligt niet bij de Integriteit noch de Beschikbaarheid van het systeem (hier ligt hoofdzakelijk de focus van de ICT-afdeling). De nadruk bij dit systeem ligt bij de Vertrouwelijkheid. En dat is bij deze hack heel duidelijk naarboven gekomen.

De vraag naar informatiebeveiligers en pentesters zal in de toekomst toenemen, ik zie deze rollen zelfs als onderdeel van de interne afdeling security worden. In ieder geval bij middelgrote en grote bedrijven. Deze rollen horen niet thuis bij de afdeling IT, eigen vlees keuren werkt gewoon niet.

A small teardown of the leaked account file (line format= email@address.tld;password)

• 1504128 email-password combos
• 1340669 unique email addresses (so >1 passwords per email address in 163459 cases… weird?)
• 818564 unique passwords

Top 10 most used passwords

• 123456 (35928x)
• 123456789 (9894x)
• 12345 (6514x)
• 1234 (4449x)
• password (4169x)
• 12345678 (3095x)
• qwerty (3058x)
• 1234567 (2829x)
• 111111 (2237x)
• 123 (2089x)

Looking at those passwords you can only conclude 1 thing: those folks weren’t thinking with their brains…

update: This wasn’t youporn but YP chat, youporn.com was not affected by the hack according to http://blog.youporn.com/youporn-data-not-exposed/

Regel nummer 0:
WEES NIET MERKAFHANKELIJK MAAR GEBRUIK BEVEILIGINGSSOFTWARE DIE GOED IN DE LAATSTE TESTS SCOORT!
Veel mensen hechten zich aan een merk, dit is niet zo slim want de prestaties van een product zijn niet naamgebonden.
Voorbeeld: McAfee was tot een tijdje geleden de “nummer 1 antivirus”, beter kon je niet krijgen… maar tegenwoordig is het een schim van wat het vroeger is geweest (http://www.security.nl/artikel/39377/1/Beste_virusscanner_voor_consument_en_bedrijven_is%3A.html).
Invloed op prestaties hebben alle huidige antivirusproducten ook praktisch niet meer (http://www.security.nl/artikel/39501/1/Anti-virus_maakt_computer_nauwelijks_trager.html), mocht je daar je bezwaren op baseren. Wees niet hypocriet, maar skeptisch, eis bewijs en ga niet af op wat de fabrikant van een product zegt. Kijk naar de resultaten van onafhankelijke instituten die de software aan de tand voelt.

Algemene tips:
a.1- Wifiverbinding: gebruik bij voorkeur WPA2 met een degelijk wachtwoord
a.2- Persoonlijke gegevens op websites plaatsen? Check het ‘slotje’ in je webbrowser (https!)
a.3- Gebruik een goed wachtwoord op je computer-account, opstarten naar de desktop is uit den boze! Altijd inloggen. Wachtwoordtip: http://xkcd.com/936/
a.4- Gebruik een schermbeveiliging met je inlogwachtwoord, die automatisch inschakelt na 5 of 10 minuten.
a.5- Werk altijd onder een GEWOON gebruikersaccount, en NIET een poweruser/administrator account.
a.6- Full disk encryption gebruiken (zit in OSX Lion, voor windows kijk naar truecrypt of becrypt)
a.7- Personal firewall installeren (little snitch voor de mac) of die van het systeem gebruiken (windows firewall)
a.8- Gebruik een antivirusproduct dat goed scoort in de tests.
a.9- Software updates bijhouden van het systeem en alle pakketten die je gebruikt (adobe acrobat/adobe flash/etc.)
a.10- Gebruik een browser die als veilig wordt beschouwd, op dit moment scoort google chrome erg goed
a.11- Gebruik geen OS dat “End Of Life” is, dwz waar geen updates meer voor uitkomen. (Microsoftlijst:http://windows.microsoft.com/en-us/windows/products/lifecycle)
a.12- Heb alleen software geinstalleerd staan die je ook daadwerkelijk gebruikt. Deinstalleer zonodig de software die de fabrikant van de laptop erop heeft gezet, dit is toch vaak bloatware.
a.13- Leer een hoax of nepmelding te herkennen, dit zie je vaak surfende op internet gebeuren, opeens een pop-up dat er een virus op je computer is gevonden en dat je een virusscanner of reparatieprogramma moet draaien om weer veilig te zijn. Dit soort meldingen negeren, zit vaak spyware achter.
a.14- Software alleen installeren als die uit officiële bron komt. Software uit illegale hoek bevat nogal eens achterdeurtjes en viezigheden.
a.15- Klaar met laptoppen? Leg hem uit het zicht!

Terugkerende dingen om te doen:
t.1- Update eens per jaar de drivers, eventueel ook firmware.
t.2- Controleer dagelijks/wekelijks/maandelijks of je firewall nog draait, je antivirusproduct nog up to date is, de automatische updates nog draaien en of je webbrowser ook netjes geupdatet is.
t.3- Een keer per jaar bepalen of het antivirusproduct dat je gebruikt nog goed scoort in de testen, rond september/oktober zie je deze resultaten vaak op sites als tweakers.net/security.nl/webwereld.nl komen.
t.4- MAAK BACKUPS! Liefst op een vast moment in de week, maak hier routine van. Berg de externe backupschijf ook veilig op, liefst achter slot en grendel (kluisje). De laptop mag wel wat waard zijn, maar vaak is de data onvervangbaar. Denk eens aan je vakantie/verjaardag/trouw-foto’s of die set van de laatste verjaardag van je grootouders. Er staan vast nog wel meer dingen je niet kwijt wilt op die ene disk in dat eenzame laptopje.
NB: Versleuteling op een backup-disk kan het terugzetten moeilijk maken, dus als je die disk niet veilig kan opbergen pas versleutelsoftware gebruiken en leg die software op een usbstick/dvd/cdrom ook bij de disk en VERGEET JE WACHTWOORD NIET!
t.5- Controleer periodiek of je de data op de backupschijf nog kan lezen. Het doel van een backup is dat je kan terugzetten (restore) vaak wordt dit vergeten.

Bovenstaande punten gaan op voor alle OS’sen. Nu is het wel zo dat er meer virussen in omloop zijn voor het Windows platform, en je hiermee dus een hoger risico loopt als je het draait. OSX en Linux hebben hier duidelijk minder last van (nog wel althans).

Meer tips? Deel ze hieronder: