FBI網(wǎng)站被黑致數(shù)據(jù)泄露?官方稱這根本是個騙局

責任編輯:editor005

作者:bimeover

2017-01-06 14:27:02

摘自:Freebuf.COM

著名黑客CyberZeist最近入侵了FBI網(wǎng)站(FBI gov),并將幾個備份文件(acc_102016 bck,acc_112016 bck,old_acc16 bck等)公布在了Pastebin,數(shù)據(jù)內(nèi)容包括姓名、SHA1加密密碼、SHA1鹽和電子郵件等。

著名黑客CyberZeist最近入侵了FBI網(wǎng)站(FBI.gov),并將幾個備份文件(acc_102016.bck,acc_112016.bck,old_acc16.bck等)公布在了Pastebin,數(shù)據(jù)內(nèi)容包括姓名、SHA1加密密碼、SHA1鹽和電子郵件等。

【1.6 更新】黑客宣稱攻破FBI官網(wǎng)利用的是Plone CMS系統(tǒng)的0-day漏洞。然而在這則消息放出后,Plone坐不住了,其安全團隊特別發(fā)布了一篇博客文章,表示:這件事情與我們根本無關,絕對是栽贓!具體是什么情況,請往下看。

  FBI官網(wǎng)被黑,數(shù)據(jù)泄露

CyberZeist是個頗具名氣的黑客,他曾是Anonymous的一員,2011年有過黑入FBI的經(jīng)歷。除此之外,巴克萊、特易購銀行和MI5都曾是他手下的受害者。

本次入侵FBI官網(wǎng)的具體時間是在2016年12月22日——CyberZeist宣稱利用Plone內(nèi)容管理系統(tǒng)(CMS)的0-day漏洞侵入了FBI.gov。Plone的內(nèi)容管理系統(tǒng)被認為是迄今為止最安全的CMS,很多高級部門使用這個CMS,其中就包括FBI。

CyberZeist解釋說,他所利用的這個0-day不是他發(fā)現(xiàn)的,他只是想用FBI的網(wǎng)站測試一下這個漏洞,結果就成了。其他網(wǎng)站同樣可能遭受相同的0-day攻擊,比如說知識產(chǎn)權協(xié)調(diào)中心以及歐盟網(wǎng)絡信息安全機構。

德國和俄羅斯的媒體相繼報道了此次黑客入侵事件,而美國的許多主流媒體卻刻意忽視了這件事。

FBI在得知了CyberZeist的入侵后,就立即指派安全專家展開修復工作,但是仍未修復Plone內(nèi)容管理系統(tǒng)的0-day漏洞。CyberZeist發(fā)現(xiàn)了FBI的修復工作后,并發(fā)了一條具有嘲諷性質的的推特。

  他對這條推特進行了補充:

我當然沒有得到root權限(這明顯嘛),但是我就是能知道他們在跑6.2版本的FreeBSD,這份數(shù)據(jù)最早可以追溯到2007年。他們最后的重啟時間是2016年12月15日晚上6:32。

  CyberZeist透露說:

這個0-day漏洞是他從tor網(wǎng)絡上買到的,而賣家不敢侵入FBI.gov這種網(wǎng)站?,F(xiàn)在已經(jīng)停止出售,我會在推特上親自放出這個0-day漏洞。

該漏洞目前仍存在于CMS的某些python模塊中。

點擊這里可以看到CyberZeist在Pastebin之上的動態(tài)。

[1.6更新]Plone回應:跟我們沒有半毛錢關系

Plone安全團隊看到CyberZeist這樣黑Plone的CMS系統(tǒng),他們當然坐不住了。于是Plone發(fā)了一篇博客全盤否認了CyberZeist的“發(fā)現(xiàn)”。

“Plone的安全團隊已經(jīng)看到了CyberZeist的犯罪聲明,并對此Plone進行了檢測,事實證明‘FBI被黑’是一個騙局。無論是Plone還是在基于Plone的系統(tǒng)都不存在0-day漏洞。”

  哇,好足的底氣——這是要開撕的節(jié)奏嗎?這是要打CyberZeist的臉啊。

Matthew Wilkes(Plone安全團隊的成員)解釋了為什么他們的團隊認為‘FBI被黑’和‘Plone存在0-day漏洞’是騙局的原因。

原因一 ——版本不對

Plone是用python語言寫的且運行在Zone的上層。Zone是一個基于python的網(wǎng)頁應用服務器。而在CyberZeist的推特中,他是這么寫的“我當然沒有得到root權限(這明顯嘛),但是我就是能知道他們在跑6.2版本的FreeBSD”。你們造嗎,F(xiàn)reeBSD 6.2只支持Python2.4和2.5版本,但是Plone并不能在這種老版本上跑。

原因二——哈希值、鹽值不一致

CyberZeist所泄露的數(shù)據(jù)的密碼哈希值、鹽值與Plone將生成的值不一致。這表明這些泄露的數(shù)據(jù)使在另一臺服務器上批量生成的。值得一提的是,CyberZeist泄露的這些FBI郵箱在幾年前就曾公之于眾。(嘿嘿,就算FBI真的被黑了,也不是Plone的鍋)

原因三——文件名稱不符

CyberZeist聲稱他在含有.bck擴展文件的網(wǎng)頁服務器的中發(fā)現(xiàn)了備份文件里的登錄信息。但是,Plone數(shù)據(jù)庫備份系統(tǒng)不會生成含有.bck擴展名的文件,而且Plone生成的備份存儲在web服務器目錄之外。

Wilkes說:

“修改這種行為方式很難,而且對于他來說沒有任何好處。”

原因四-截圖有破綻

CyberZeist在推特上上傳的某些截圖迫使FBI.gov暴露部分源代碼。然而此類攻擊通常是針對PHP應用程序的,對于沒使用cgi-bin擴展類型的Python網(wǎng)站是不可能成功。

有一張截圖顯示的是郵件信息,這些信息很有可能是從FBI服務器的郵箱日志里提取的。

“這很有可能是他自己的服務器日志,他雖然把這個服務器日志名稱改得和FBI一樣,但是卻忘記把郵件顯示的時區(qū)從印度標準時間到東部標準時間”

原因五-CyberZeist有“造假”前科

沒錯,CyberZeist在這之前曾有“造假”記錄。而偽造這次攻擊的目的,可能是為了撈錢。FBI.gov作為一個使用Plone的知名網(wǎng)站,成功侵入它對于其他黑客來說具有很大的吸引力,很多黑客自然會到Tor網(wǎng)絡上去買這個實際上不存在的0-day漏洞。要知道這個0-day的售價是8比特幣,約9000美金。

在CyberZeist的“謠言”傳出之前,Plone已經(jīng)宣布了將在1月17日之前發(fā)布新的安全補丁,新的補丁與此次的0-day無關,旨在修復次要,低危的安全問題。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號