Sahte exploit kodu

[the.blackwolf]

Çarşamba günü 14,300 üyesi olan popüler mesaj listesi Vuln-Dev`e nadir rastlanan bir mesaj geldi: derlenip çalıştırıldığında dosyaları silecek olan bir kaynak kodu.

Mesaj 'The Happy Hacker' kitabının yazarı Carolyn Meinel`den geliyormuş gibi görünüyordu. WU-FTPD`nin en son sürümündeki bir açığın exploiti gibi gösterilmek istenen kodun (wu261.c) bir kopyasıda Meinel`in sitesinde (techbroker.com) bulunuyordu.
Liste üyesi Jason Parker newsbyte`a, derlemeden önce koda bir göz attığını ve normal göründüğüne karar verip perşembe günü sisteminde bir test kullanıcı hesabı ile çalıştırdığını söyledi.
'home dizinindeki herşeyi kaybettim, kaybetmemem gereken bazı şeyler dahil. Fakat bu güvenmenin bedeli.' diyor Parker. Ve olaydan sonra sitesinin giriş sayfasında Meinel hakkında bazı müstehcen yorumlar eklemiş.

Fakat Meinel 'exploit' i içeren mesajı kendisinin yazmadığını iddia ediyor. Sitesini hack eden ve onun kullanıcı hesabıyla e-posta gönderip dosyalar yaratabilen birisi tarafından ustaca hazırlanıp gönderildiğini iddia ediyor. Meinel Newsbytes`a 'Bunu kim yaptıysa çok usta. Bu averaj bir 'script kiddie' nin yapacağı bir iş değil.' dedi. Bazı güvenlik profesyonelleri tarafından şarlatan olarak değerlendirilen ve hedef olan Meinel`in daha öncede Ocak ayında benzer bir saldırı ile sitesine girilmişti. Kendilerine 'Girlies for Hacking' adını veren bir grup Meinel`in sitesinin içeriğini değiştirmiş ve e-posta gelen kutusunun içeriğini web`de yayınlamışlardı. Meinel son gerçekleşen güvenlik aşılması olayından utanmadığını ve Vuln-Dev okuyucularının sistemlerine gelebilecek zararlar konusunda endişelendiğini söyledi. Bir forensic uzmanı ile saldıranların izini süren Meinel 'Bu bana karşı bir saldırı değildi. Internet altyapısına yapılan bir saldırıydı.' diyor.

Olay, Vuln-Dev listesini host eden bilgi güvenliği ve danışmanlık firması SecurityFocus yetkililerini kızdırdı. SecurityFocus`un tehdit analiz yöneticisi David Ahmad 'Birileri bizi aptal yerine koymak için çok çaba harcadı.' diyor.
Ahmad`a göre saldırganlar, sıklıkla, gizli kötü amaçları olan exploit`leri firmanın çeşitli mesaj listelerine gönderiyorlar. Liste moderator`leri mesajları gözden geçiriyor ve filtreliyorlar fakat kazalar oluyor ve daha önce kötü amaçlı bir program 40,000 okuyucusu olan prestijli Bugtraq listesine geçmiş. Bu kodda Network Associates`e ait bir isim sunucusuna gizli bir DoS saldırısı gerçekleştirmiş.

Ahmad saldırganların sahte WU-FTPD exploit`ini Bugtraq`a geçen hafta pazartesi günü göndermeye çalıştıklarını fakat o kodu biraz inceleyip şüphelenerek geçmesini engellediğini söylüyor. Fakat moderatörler Nimda worm`u ile uğraşırken saldırganlar birkaç gün sonra kodu listeye geçirebilmişler.
Ahmad 'Genel bir servisin enson sürümünün uzaktan gerçekleştirilebilen bir exploit`i bir hazine gibidir. Bunu gören herkez indirip çalıştırmak isteyebilir.' diye ekliyor.

Vuln-Dev web`de [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...]
adresinde arşivleniyor.

Techbroker.com`un ocak ayındaki hack edilmesi ile ilgili bir yansısı [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] adresinde bulunabilir.

ref: [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...]