[quote=“alkema_jm, post:84, topic:354”]
How was Hacking Team hacked?
The attacker who stole Hacking Team’s data gained access to an employee’s computer while the victim was still logged in.[/quote]
Ja Jan Marco, jouw bron oppert terecht dat de boel wel open gestaan moet hebben op het moment dat de veegwagen langs kwam:
How was Hacking Team hacked?
The attacker who stole Hacking Team’s data gained access to an employee’s computer while the victim was still logged in.
The attacker either had direct physical access to Christian Pozzi’s PC or they used malware to achieve a similar level of access. Whichever way it was, we can tell that Christian was logged in at the time simply by looking at a folder name among the files that were leaked onto the internet.
Christian’s password files have been published online and most commentators have focussed on the low quality of many of these passwords. However, look at the folder in which these files were stored: /Truecrypt Volume/.
Zo’n Truecrypt-kluisje zou trouwens vanzelf weer dichtklappen als dat zo ingesteld is maar dat was in deze situatie juist niet zo lijkt het, kijk naar de betreffende regel in het samen met al die andere bestanden van de onfortuinlijke systeembeheerder gekidnapte configuratiebestand:
<config key="MaxVolumeIdleTime">-60</config>
Je ziet daar elders zowel positieve als negatieve waarden ingesteld worden maar:
// Idle auto-dismount
if (MaxVolumeIdleTime > 0)
DismountIdleVolumes ();
Als ik zelf bij wijze van test een negatieve waarde invul in ‘Configuration.xml’ dan blijft mijn nep-schijfje gewoon toegankelijk.
Of dat de indringers geholpen heeft, geen idee. Als ik het goed begrijp werd het materiaal op zondag weggesluisd, hebben ze er die avond wel over getwitterd maar kwamen de HT-mensen er eigenlijk pas maandagochtend achter, aldus de ‘Techredacteur’ van de NOS:
Wat is er dit weekend gebeurd?
Dit weekend zijn interne servers van Hacking Team gehackt. Volgens beveiligingsexpert Rickey Gevers gaat het om een netwerk dat normaal gesproken niet verbonden is met het internet, omdat er zeer gevoelige informatie over klanten op staat.
Een systeembeheerder heeft met een Windows-pc, die verbonden was met het internet, verbinding gemaakt met het interne systeem waardoor hackers konden binnendringen, zegt Gevers. De inbrekers hebben vervolgens 400 GB aan data gestolen en online gepubliceerd. Het gaat onder meer om e-mailconversaties met klanten, paspoorten en facturen.
En was de man van die kwetsbare PC nou iemand die in het weekend nog eens terugging naar de zaak? Een forum-bezoeker op Tweakers.net:
sprankel
Echter onder /c.pozzi/Truecrypt Volume/ zijn wel 2 plaintext bestanden te vinden die zijn aangemaakt door een medewerker waarschijnlijk c.pozzi zelf.
Hoe ze zijn binnen geraakt is vrij simpel als je het mij vraagt. c.pozzi doet alles behalve werken, gamen (c&c online), porno kijken (youporn), series bekijken, youtube, ebay, chatten & torrents lokaal en remote. Niet een zo moeilijk target en hij maakt iedere fout wat paswoorden betreft die je kan maken.
Vanop zijn computer heb je vervolgens toegang tot de file servers & mail servers en trek je alle gegevens eruit.
Iedereen verdient een tweede kans? Onder deze verdachte omstandigheden kan ‘system administrator’ Christian Pozzi dan inderdaad maar beter beginnen met de aanschaf van onbesmette nieuwe hardware:
We Met With Hacking Team in Milan
A view of Hacking Team’s Headquarters in Milan (Image: Mari Bastashevski)
On Wednesday, before interviewing the staff of the controversial surveillance tech company Hacking Team, I spent some time observing their daily routine through the windows of the coffee shop located right opposite their office on Via della Moscova 13, in Milan, waiting to see the traces of the mayhem the hack must have caused. The employees paced through the office constantly, and often went outside to smoke. At lunch, four of them ate at the coffee shop. They didn’t say much. Later, they signed off for a truck full of medium sized boxes, which a source identified as new servers.
Voorts schrijf jij nu in tweede instantie:
Op zich is de hack bij Hacking Team wel vermakelijk, maar stel dat er een hack 400 gigabyte bij medische elektronische dossiers was geweest. Even analogie door trekken wat wij gedaan hebben met de privé informatie van het Hacking Team, dan zouden verzekeringsartsen rücksichtslos door alle dossiers heen gaan om te zien welke klanten ze wel of niet een aanvullende verzekering willen geven. Ik denk dat dan iedereen op zijn achterste benen zou staan in Nederland…
Mijn vraag aan u, heer Alkema, waren het niet juist klanten van Hacking Team die met de door hen verworven RCS-systemen rücksichtslos door de spullen van ‘targets’ heen gaan?
RCS Console for the Analyst
The Analyst processes the investigation information in his/her possession in the Intelligence section.
The people under investigation, other people and places involved in the investigation are represented by entities. The relations between people and between people and places are represented as links between entities.
The system creates new entities and new links between entities based on the evidence received from target devices. The analyst interprets and organizes this information, adding, editing or deleting entities according to the evolution of the investigation.
Intelligence section license
Intelligence functions are sold under license.
Without a user license the analyst can only use the Intelligence section to view and add details on targets in the operation; the system does not process information based on collected evidence.
Hacking Team - RCS 9.6 - The hacking suite for governmental interception - Analyst manual ver.1.9