คำเตือน hack เว็บชื่อดังจาก anti-sec น่าติดตามมาก !!!

[Gen0TypE]

สำหรับคนที่ติดตามข่าวสารการเจาะระบบในช่วง 2-3 เดือนมานี้คงคุ้นกับชื่อ anti-sec กันดี

ที่จริง ข่าวที่ผมจะพูดถึงต่อไปนี้ มันก็เป็นข่าวเก่าของเมื่อประมาณสัปดาห์ที่แล้ว
แต่ผมคิดว่าคงจะมีไม่กี่คนที่อ่านเนื้อหาของมันอย่างจริงจัง
ซึ่งเนื้อหาที่ทาง anti-sec ทิ้งไว้ถือว่าท้าทายเหล่า full-disclosure อย่างมาก

ผมสรุปเนื้อหาสำคัญที่ทาง anti-sec ประกาศไว้ให้อ่านละกัน

**Hidden Content: To see this hidden content your post count must be 10 or greater.**

[asylu3]

ขอบคุณสำหรับข่าวสารครับ จะไม่ประมาทครับ พยายามตรวจตราช่องโหว่ต่างๆให้รัดกุ่มที่สุด เท่าที่จะเป็นเป็นไปได้ครับ
แต่ก่อนจะให้คนอื่นมาลองของผมอยากให้ สมาชิกของเราทุกคนลองเจาะ CITEC ดูหากพบช่องโหว่อะไรก็ PM แจ้งมาหรือ
แจ้งมาที่ http://citec.us/contact ได้เลยนะครับ

[WC_{Sky}]

ขอเพิ่มเติมจากพี่ Gen0type นะครับ เป็น disclosure ของ Blackhat-forums ครับ

Anti-Sec - We have Terminated Blackhat-forums. Are you scared now HackForums?

**Hidden Content: To see this hidden content your post count must be 15 or greater.**

[ZeQ3uL]

ส่วนตัวแล้วเห็นด้วยกับ Anti-Sec เรื่องการประกาศช่องโหว่ และเครื่องมือให้พวก Script-Kiddies ทำให้เกิดพวก script-kiddies ขึ้นมาก และต่อมาก็คือการแสดงตัวแบบเกรียน โดยที่ไม่มีวุฒิภาวะเพียงพอที่จะรู้ว่าอะไรควรทำ หรือไม่ควรทำ

เวบที่เกี่ยวกับ Hack+Security เกิดขึ้นมากตามเทรนของมัน ถามว่าปัจจุบันความปลอดถัยทาง IT ลดลงเพราะอะไร ก็เพราะเครื่องมือที่ออกมาและเวบไซต์พวกนี้ ทำให้มีพวกที่ไม่มีวุฒิภาวะพอเพียงมาป่วนโลกไซเบอร์ สมัยอดีตที่ผ่านมาการทำงานของแฮกเกอร์ทำงานเป็นกลุ่ม แชร์ผมงานกันระหว่างกลุ่ม คนที่ถูกคัดเลือกเข้ามาในกลุ่ม underground ได้นั้น ต้องมีความสามารถโดดเด่น เรื่องใดเรื่องหนึ่ง ไม่ว่าจะเป็นการเขียนโปรแกรมขั้นสูง การชำนาญทางวิเคราะห์การทำงานของ System, Software (Reverser) หรือเชี่ยวชาญทาง Digital, Encryption, etc.. คนเหล่านี้มารวมตัวกัน โดยข้อมูลไม่ได้ถูกเผยแพร่ออกไปแต่อย่างใด เนื่องจากข้อมูลบางอย่างมีความสำคัญที่จะนำไปใช้ในอนาคต

ยกตัวอย่าง 0-day Joomla ที่ตำรวจเอาไปเจาะระบบของเว็บผู้ก่อการร้ายในตุรกี หรือ Crypter ที่ AV จับไม่ได้เพื่อนำไปใช้ในการดักจับผู้ร้าย แต่ปัจจุบันก็มีข้อมูลสอน หรือเผยแพร่ออกมาไว ไม่ได้ถูกเก็บไว้ลับๆมากมาย อย่าง Anti-Sec มี 0-days ของ Apache ที่ตอนนี้ทุกเครื่องในโลกที่ใช้ มีความเสี่ยงที่จะโดนหมด โดยที vendor Apache ก็ยังไม่รู้เรื่องอยู๋ นี่คือความสนุกของการเป็นแฮกเกอร์

ส่วนตัวแล้วอยากให้คำว่าแฮกเกอร์ดู ลี๊ลับ เข้าถึงยาก แต่ปัจจุบันเทรนเปลี่ยนไปแฮกเกอร์ส่วนใหญ่ก็ต้องตามเทรน เปลี่ยนแปลงปรับตัวตามไปด้วย เพราะบางทีหากินจากการรับจ้างแฮก ก็ไม่ใช่รายได้ที่แน่นอน เดี๋ยวนี้ส่วนมากจึงทำงานในลักษณะที่เรียกว่า Security Researcher หรือมานำเสนอผลงานที่เขาค้นพบในงานดังๆเช่น Defcon, BlackHat เพื่อการสร้างเครดิต และเข้าทำงานในบริษัทใหญ่ๆที่เลี้ยงตัวเองได้ แต่ด้านมืดก็ยังคงอยู่ ผมรู้จัก Speaker ตามงานหลายๆคน เป็นลักษณะนี้คือเป็นแฮกเกอร์ใต้ดินมาก่อน แต่พูดง่ายๆ หาเงินยาก เลยผันมาเป็น speaker แล้วก็ research ในบริษัท หรือยอมแปรพักตร์ มาทำ Security Product พวก IPS, IDS, WAF, Etc ที่เราคุ้นเคยกันนั่นเอง

เพื่อนๆหลายๆคนที่เคย Post ใน Milw0rm ปัจจุบันไม่ได้ Post แล้วเพราะบางอันก็เก็บไว้เป็น 0-days ไม่ได้เผยแพร่ไป ไม่งั้น vendor ก็ patch เจาะไม่ได้ แฮกเกอร์ก็จบเห่ ในสังคม underground ก็ได้มีการคุยกันว่า CMS ดังๆ หรือ Forums ดังๆ จะไม่มีการ Post ประกาศไปแหล่ง Portal ต่างๆ เพื่อให้คำว่าแฮกเกอร์ยังมีอยู่ในโลกไซเบอร์ มิฉะนั้นต่อไปคงไม่สามารถเจาะอะไรได้อีก 555+ CMS เมืองไทยมีเยอะมั๊ย ตอบได้เลยว่าเยอะมาก ทั้งที่เป็น opensource และ commercial ที่แพงๆ แต่ไม่ได้ถูกประกาศ หรือ Wordpress, Joomla, smf ตอนนี้ก็มี 0-days แล้ว

แฮกเกอร์จงเจริญ, Security จะเกิดขึ้นได้ต้องมี Hacker

Be Safe,
ZeQ3uL

[nirvana02]

<span style="color:red">Dear members of Hackforums.net, Jesse Omni (AKA Omniscient),
Milw0rm.com, str0ke, and Reader,
We are the Ant-Sec movement, and we are dedicated
to eradicating full-disclosure of vulnerabilities and exploits and free
discussion on hacking related topics. We are dedicated to stalling the ocean
of script-kiddies currently trawling the Internet, and those so called
"White Hat Hackers" who benefit financially from full-disclosure; employing
scare-tactics in order to con people into buying their firewalls and
anti-virus software.

Thus, our new targets are Hackforums.net and Milw0rm.com. Both are notable
within the hacking underground and the computer security world, and both
violate what the Anti-Sec movement is fighting for. Such as it is, both must
be terminated...utterly.

Let us first discuss Hackforums.net. It is run by a man named Jesse
Omni, also known as "Omniscient" within the hacker underground. Although
he, himself, claims to not know a thing about penetrating computer systems.
Hackforums.net is perhaps one of the largest communities of hackers and
script-kiddies alike currently at large in cyber space. The beginner
section, alone, is flooded every single day with messages by script-kiddies.
The "Hacking Tutorials" section is a diamond mine of full-disclosure
information. And that is not the entirety of it. As a result, this community
MUST be terminated.

Recently, the Anti-Sec movement became aware that some unknown entity has
been launching successfully crippling denial of service attacks against
Hackforums.net. Whoever you are, we of the Anti-Sec movement extend our
warmest gratitude to you and we ask that, if you&#39;re reading this email,
please do not cease your attack against Hackforums.net. By bringing it down,
you are helping to recover the health of the Internet. Hackforums.net is a
hive of knowledge that should only be known by a select few. It MUST be
terminated. In addition, we also encourage any and all who can to launch
denial of service attacks against Hackforums.net in order to support us in
furthering our goals.

We would like to stress that we will not be participating in DDOSing
Hackforums.net. The reasons for this bring us to our next topic of
discussion.

In addition to our OpenSSH 0-day exploit, the Anti-Sec movement have also
unearthed an Apache 0-day vulnerability and we have subsequently developed
exploit code in order to take advantage of this vulnerability. It affects
ALL versions. We will be using this as well as our OpenSSH exploit to hack
into Hackforums.net and rm its contents, thus terminating it.

As soon as, if ever, the recent crippling DDOS attacks against
Hackforums.net cease, we will strike. And in that moment, Hackforums.net
will be history. Your only hope, Hackforums, is for the heavy DDOS attacks
to never stop.

Once we have dealt with Hackforums.net, we will terminate Milw0rm. Better
you had quit and left it at that, Str0ke, for now milw0rm.com will be
completely and utterly wiped. It is the second highest target after
Hackforums.net.

This is our message to all. You have seen what the Anti-Sec movement can do.
We will do it again, and again, and again, until our goals are achieved.

This we promise.

Sincerely,

Anti-Sec
[/b][/quote]

ดูๆเเล้ว Anti-Sec บอกว่าจะ hack เเล้วบอกว่าจะทำเเบบไหนด้วย**มันเป็นการท้าทายมากๆต่อ admin เว็บนั้นๆ**

[Keyboard]

ผมยังไม่ใช่ผู้ชำนาญการครับ แต่อยากออกความเห็นสักเล็กน้อย
เรื่องการเปิดเผยช่องโหว่ หรือการเผยแพร่วิธีกันในอินเตอร์เน็ต นอกจากข้อเสียแล้ว ผมมองว่ามันมีข้อดีหลายอย่างนะครับ
อย่างแรก เมื่อก่อนข้อมูลพวกนี้จะรู้เฉพาะบางกลุ่มที่ศึกษากัน ผู้ใช้ทั่วๆ ไปไม่มีความรู้ ก็ไม่คิดว่ามีปัญหาอะไรเกิดขึ้น เหมือนกับว่าเรามีประตูบ้าน ที่ติดตั้งระบบล็อคไว้ แล้วคิดว่าพอแล้ว แต่สุดท้าย เราก็อาจจะโดนขโมยที่ชำนาญการ งัดบ้าน เราเข้ามาได้ ในตัวอย่างนี้ ผมอยากจะรู้ว่าเกิดอะไรขึ้น ดูความเสี่ยงที่มี และลงทุนกับสิ่งที่เราคิดว่าดีครับ
อย่างที่สอง เรื่องเครื่องมือที่จ่ายแจกกัน ทีจริงก็ยังพอมีทางออก ก็คือถ้าใช้เพื่อการศึกษา เราก็สามารถควบคุมการแจกจ่าย ได้หลังจากที่ผู้ผลิตออกมาแก้ไขแล้ว ตัวอย่างที่ผมเห็นอย่างนึงก็คือ ช่องโหว่บน Java ใน OS X ทาง Apple ไม่ยอมแก้ไขซะที ต้องรอจนมีคนมาเผยแพร่วิธีโจมตี แล้วถึงจะมารีบทำ
สิ่งที่ทาง anti-sec ทำ ถ้าเทียบกับในโลกนี้ก็เหมือนกับ USA ที่มีระเบิดนิวเคลียร์คนเดียว แล้วห้ามคนอื่นพัฒนาครับ ตัวอย่างอาจจะสุดโต่งไป แต่ความรู้น่าจะต้องแบ่งกัน
ทุกวันนี้ถ้าลองดู จะเห็นว่าไมโครซอฟต์ออกตัวแก้ไขออกมาบ่อยมาก ก็เพราะอาศัยคนกลุ่มที่เป็น security research คอยหาช่องโหว่ให้ ครับ

[asylu3]

ดูเหมือน blackhat-forum.com จะอยู่บน shared hosting มากกว่าที่มี server ส่วนตัวนะครับ
เพราะว่าจากการ scan port แล้วพบว่ามี service DirectAdmin ด้วยซึ่งหากเป็น Server ส่วนตัวเองไม่มีความจำเป็นใดๆที่จะติดตั้งระบบ control panel ตัวนี้เลยรวมถึง port ต่างๆก็เปิดกันอย่างเปิดเผยเช่น 22, 23 แล้วก็อีกมากมาย
เอาแค่ openssh ก็แสดงเห็นถึงความไม่ใส่ใจของผู้ดูแลแล้วครับ "OpenSSH 4.3 (protocol 2.0)"

**Hidden Content: To see this hidden content your post count must be 10 or greater.**

http://www.apache.org/dist/httpd/CHANGES_2.2

-*- coding: utf-8 -*-
Changes with Apache 2.2.11

*) core: When the ap_http_header_filter processes an error bucket, cleanup
the passed brigade before returning AP_FILTER_ERROR down the filter
chain. This unambiguously ensures the same error bucket isn&#39;t revisited
[Ruediger Pluem]

*) core: Error responses set by filters were being coerced into 500 errors,
sometimes appended to the original error response. Log entry of:
&#39;Handler for (null) returned invalid result code -3&#39;
[Eric Covener]

*) configure: Don&#39;t reject libtool 2.x
PR 44817 [Arfrever Frehtes Taifersar Arahesis <Arfrever.FTA gmail.com>]

*) mod_autoindex: add configuration option to insert string
in HTML HEAD (IndexHeadInsert). [Nick Kew]

*) Add new LogFormat parameter, %k, which logs the number of
keepalive requests on this connection for this request.
PR 45762 [Dan Poirier <poirier pobox.com>, Jim Jagielski]

*) Export and install the mod_rewrite.h header to ensure the optional
rewrite_mapfunc_t and ap_register_rewrite_mapfunc functions are
available to third party modules. [Graham Leggett]

*) mod_cache: Convert age of cached object to seconds before comparing it to
age supplied by the request when checking whether to send a Warning
header for a stale response. PR 39713. [Owen Taylor <otaylor redhat.com>]

*) Build: Correctly set SSL_LIBS during openssl detection if pkgconfig is
not available. PR 46018 [Ruediger Pluem]

*) mod_proxy_ajp: Do not fail if response data is sent before all request
data is read. PR 45911 [Ruediger Pluem]

*) mod_proxy_balancer: Add in forced recovery for balancer members if
all are in error state. [Mladen Turk]

*) mod_proxy: Prevent segmentation faults by correctly adjusting the
lifetime of the buckets read from the proxy backend. PR 45792
[Ruediger Pluem]

*) mod_expires: Do not sets negative max-age / Expires header in the past.
PR 39774 [Jim Jagielski]

*) mod_info: Was displaying the wrong value for the KeepAliveTimeout
value. [Jim Jagielski]

*) mod_proxy_ajp: Fix wrongly formatted requests where client
sets Content-Length header, but doesn&#39;t provide a body.
Servlet container always expects that next packet is
body whenever C-L is present in the headers. This can lead
to wrong interpretation of the packets. In this case
send the empty body packet, so container can deal with
that. [Mladen Turk]

*) core: Add ap_timeout_parameter_parse to public API. [Ruediger Pluem]

*) mod_proxy: Add the possibility to set the worker parameters
connectiontimeout and ping in milliseconds. [Ruediger Pluem]

*) Worker MPM: Crosscheck that idle workers are still available before using
them and thus preventing an overflow of the worker queue which causes
a SegFault. PR 45605 [Denis Ustimenko <denusk gmail.com>]

*) Windows: Always build the odbc dbd driver on windows, to be consistent
with the apr-util default. [Tom Donovan]

Changes with Apache 2.2.10

*) SECURITY: CVE-2008-2939 (cve.mitre.org)
mod_proxy_ftp: Prevent XSS attacks when using wildcards in the path of
the FTP URL. Discovered by Marc Bevand of Rapid7. [Ruediger Pluem]

*) Allow for smax to be 0 for balancer members so that all idle
connections are able to be dropped should they exceed ttl.
PR 43371 [Phil Endecott <spam_from_apache_bugzilla chezphil.org>,
Jim Jagielski]

*) mod_proxy_http: Don&#39;t trigger a retry by the client if a failure to
read the response line was the result of a timeout.
[Adam Woodworth <mirkperl gmail.com>]

*) Support chroot on Unix-family platforms
PR 43596 [Dimitar Pashev <mitko banksoft-bg.com>]

*) mod_ssl: implement dynamic mutex callbacks for the benefit of
OpenSSL. [Sander Temme]

*) mod_proxy_balancer: Add &#39;bybusyness&#39; load balance method.
[Joel Gluth <joelgluth yahoo.com.au>, Jim Jagielski]

*) mod_authn_alias: Detect during startup when AuthDigestProvider
is configured to use an incompatible provider via AuthnProviderAlias.
PR 45196 [Eric Covener]

*) mod_proxy: Add &#39;scolonpathdelim&#39; parameter to allow for &#39;;&#39; to also be
used as a session path separator/delim PR 45158. [Jim Jagielski]

*) mod_charset_lite: Avoid dropping error responses by handling meta buckets
correctly. PR 45687 [Dan Poirier <poirier pobox.com>]

*) mod_proxy_http: Introduce environment variable proxy-initial-not-pooled to
avoid reusing pooled connections if the client connection is an initial
connection. PR 37770. [Ruediger Pluem]

*) mod_rewrite: Allow Cookie option to set secure and HttpOnly flags.
PR 44799 [Christian Wenz <christian wenz.org>]
[/b]

[retool2]

อันนี้ link เกี่ยวกับ imageshack โดน hack ด้วยครับ

**Hidden Content: To see this hidden content your post count must be 5 or greater.**

[Gen0TypE]

ก่อนอื่นต้องขอแก้ข่าวก่อนนะครับว่า การ hack imageshack นั้น ไม่ใช่ฝีมือของอ Anti-sec นะครับ
เป็นการแอบอ้างของ hacker คนอื่น ตอนนี้ผลงานที่เป็นของ Anti-sec จริงๆ มีแค่ altavista กับ blackhat-forums

แต่ Anti-sec ตัวจริงก็ได้ออกมาขอบคุณเชิงเหน็บแนมตัวปลอมเหมือนกัน

ทาง Anti-sec ได้ออกมาประกาศมา 4 ข้อ ดังนี้

**Hidden Content: To see this hidden content your post count must be 10 or greater.**

ตามที่ท่าน Keyboard บอกมาว่า การประกาศช่องโหว่ก็มีข้อดีเหมือนกัน ก็เป็นความเห็นที่ถูก
แต่การจะบอกว่าความเห็นของ Anti-sec ผิดนั้น ก็เป็นไปไม่ได้ เพราะการประกาศหรือไม่ประกาศช่องโหว่
ก็มีข้อดีข้อเสียต่างกันไป เราไม่สามารถบอกได้ว่าทางไหนเป็นทางที่ถูกต้อง แต่เราต้องเลือกทางที่คิดว่าดีที่สุดสำหรับเรา (แนวคิดเด็กวิศวะเลยะนะเนี่ย 55)
ในกรณีนี้ Anti-sec เห็นว่าการประกาศช่องโหว่นั้นไม่ถูกต้องสำหรับเขา อันนี้ก็เป็นสิทธิ์ของเขาไป
แต่รู้สึกว่าเขาจะใช้วิธีต่อต้านที่ค่อนข้างรุนแรงสักหน่อยแฮะ


และตามที่ Anti-sec อ้างว่า มี 0day ของ apache กับ litespeed อยู่ในมือนั้น ถ้าเป็นความจริง
เหยื่อของทาง Anti-sec คงต้องทำใจ ถึง apache กับ litespeed จะพยายามค้นคว้าเพื่อปิดช่องโหว่เท่าไหร่
ก็ไม่แน่ว่าจะเปิดช่องโหว่ที่ Anti-sec มีอยู่ได้ เพราะไม่มีใครรู้รายละเอียดของช่องโหว่ตัวนี้
สิ่งที่ทำได้มีเพียงแค่ พยายามลดผลกระทบจากการโจมตีให้ได้มากที่สุดเท่านั้น หรือไม่ก็ต้องยอมเปลี่ยนไปใช้ web server ตัวอื่น :P


ยังไงก็แล้วแต่ผมก็คงรอติดตามผลงานของ Anti-sec ต่อไป เพราะ Anti-sec ทำให้คำว่า hacker มีค่ามากขึ้น
ไม่ใช่มี script kiddie เกลื่อนโลกเหมือนตอนนี้

[jaynarol]

อ่านแล้วรู้สึกเหมือนกำลังดูภาพยนตร์เลยครับ

เร้าใจดีจริงๆ ถึงหลายๆท่านจะมองว่า Anti-sec อาจจะทำเกินไป

แต่ใจลึกๆก็คงเหมือนกับผม ที่อยากจะรู้ว่าจะทำได้จริงไหม และ จะทำเมื่อไหร่





รู้สึกได้ถึงคำว่า Hacker จริงๆก็คราวนี้ละครับ^^