Jump to content
zbeng

Hacker-ul care a spart site-ul Marinei Britanice: "Nu sunt un terorist"

By zbeng, in Off-topic

Recommended Posts

zbeng Newbie

zbeng

Posted
Posted

EXCLUSIV. Tinkode, românul care sus?ine c? a spart mai multe site-uri guvernamentale str?ine, spune c? ce face el e benefic pentru securitate.

Sursa: SHUTTERSTOCKAlege s?-?i spun? "R?zvan". ?i vârsta o d? "în jurul a 20 de ani". Câteva rezerve trebuie totu?i s? apar?. Nu ?tii dac? "R?zvan" e chiar numele lui sau unul ales pe lâng? cel de hacker, TinKode. Cert e c? e tân?r, poate chiar foarte tân?r, c? e român ?i e men?ionat deja prin documente publice ale US Army drept "o amenin?are". Asta dup? ce a spart câteva subdomenii de internet ale puternicei institu?ii pentru a le face publice vulnerabilit??ile.

Apoi a postat pe blogul s?u, pe site-ul video Vimeo sau pe Twitter, cu non?alan??, "faptele de vitejie". Din câte scrie acolo, TinKode a f?cut pân? acum de ru?ine US Army, NASA sau Youtube.

Un sp?rg?tor "de bine"

Pe TinKode e de ajuns s?-l cau?i pe site-urile unde posteaz? "cuceririle". Pentru c?, în lumea hackerilor, e ?i o chestiune ce ?ine de orgolii. În ultima sa postare (de pe Twitter ?i blogul personal) sus?ine c? a g?sit sl?biciuni în unul dintre site-urile Marinei Regale Britanice.

Nu a publicat documente "Top Secret", ci a l?sat, a?a, mai mult un mesaj care s? le arate c? sunt vulnerabili. Presa britanic? a scris îns? c? e un gest care face de ru?ine Royal Navy, iar pe Wikipedia îi apare numele ca referin?? la capitolul "SQL Injection" – metoda folosit? de a sparge site-ul Royal Navy.

De ce sparge totu?i TinKode toate site-urile astea? Pentru c?, spune el, de?i e ilegal, el face de fapt un bine. Din ce descrie, s-ar vrea un soi de sp?rg?tor care nu-?i ia nimic din cas?, dar î?i las? un bilet pe pat în care spune c? trebuie s?-?i schimbi yala. Hacker-ul TinKode a acceptat s? r?spund?, la o s?pt?mâna de la "spargerea" site-ului Royal Navy, sub protec?ia anonimatului, la câteva întreb?ri pentru "Evenimentul zilei".

PRIN UNIVERSUL UNUI HACKER

"Ar?t cum institu?ii în care s-au investit milioane de dolari pentru securitate pot fi sparte"

EVZ: Ce ne po?i spune despre tine? Cine e TinKode?

TinKode: Ce a? putea s? detaliez despre mine ar fi: Sunt un tip sociabil, c?ruia îi place s? î?i petreac? foarte mult timp cu prietenii ?i s? se distreze. Presupun c? mul?i cred c? sunt un obsedat de internet, petrecând 10 ore/zi pe calculator, dar, de fapt, dac? stau 1-2 ore. Numele meu real este R?zvan ?i locuiesc într-o frumoas? regiune din România, din sud. Nick-ul meu, TinKode, nu reprezint? nimic. Cu ceva ani în urm? vroiam s? am un nick unic. Am încercat pe Google diferite combina?ii de cuvinte, pân? am dat de "TinKode" care a dat "0 rezultate g?site".

Ultima ?tire legat? de Tinkode ?i hacking se refer? la site-ul Marinei Regale Britanice. Royal Navy a negat îns? atacul. Cum ai spart site-ul?

Din câte am citit în articolele de pe site-urile ziarelor ?i televiziunilor, nu au negat faptul c? au fost "hacked", ci mai degrab? c? nu s-au extras date foarte importante, cum ar fi informa?ii Top Secret (chiar dac? a? fi avut ?ansa s? ob?in a?a ceva, nu m-ar fi interesat). Metoda prin care am avut acces la ei, nu e una dificil?, ?i anume MySQL Injection (am observat ca sunt mul?i "cunosc?tori" care î?i dau cu p?rerea ?i explic? cât este de u?or, dar aparen?ele în?eal?, treburile se schimb? când este intâlnit WAF - Web Application Firewall).

De ce ai ales acest site?

În ultimul timp am ales s? "testez" securitatea mai mult site-uri militare. Am ales s? sparg mod.uk, pentru ca este cel mai important website al Angliei la capitolul armat?.

"Am avut acces la documente oficiale"

În "palmaresul" t?u de pe Twitter sunt mai multe alte ?inte similare: site-uri afiliate US Army, NASA, Youtube. Care a fost cel mai greu de spart ?i de ce?

Dac? m? gândesc mai bine, fiecare a fost mai greu de spart în felul lui, dar am un motto pe care il respect: "Where is a will, there is a way" - atunci când vrei cu adev?rat s? ob?ii ceva, întotdeauna g?se?ti un drum pentru a ob?ine lucrul respectiv. "S? nu-?i fie team? s? iei taurul de coarne", cum ar veni. În cazul NASA: Acum câ?iva ani vedeam la TV ?i citeam pe multe site-uri cum X a spart NASA ?i mi s-a p?rut un lucru cool, mi-am propus s? îmi demonstrez c? pot avea acces ?i eu. La site-urile armatei SUA a fost ceva mai greu de ob?inut acces, pentru c? aici nu am mai putut folosi metode des utilizate pentru a obtine acces - am petrecut ceva mai mult timp ca s? intru, dar a meritat zic eu.

Când am "spart" Youtube a fost ceva mai usor, deoarece nu am gasit o vulnerabilitate foarte "critic?", din punctul de vedere al unui specialist (XSS - Cross-Site Scripting), dar prin care se putea ob?ine acces la orice cont de Youtube – chiar, cum ar fi s? avem access la contul de youtube al BBC, al CNN, etc.? (adaug? un smiley cu "rânjet"), sau s? redirec?ionezi pagini c?tre altele false, infectând utilizatorii cu viru?i, spyware, keyllogers, stealers, etc.

Pe lâng? site-uri guvernamentale, se num?r? Youtube. De ce ai ales site-ul ?sta, de divertisment?

Nu l-am ales inten?ionat. Ca s? explic mai bine, cu ceva timp în urm?, cam pe 1,2 iulie am citit un articol interesant despre XSS si HTML5, dup? care mi-am amintit c? ?i YouTube tocmai acceptase s? foloseasca HTML5 ?i a?a am încercat s? v?d dac? pot g?si ceva slab acolo. Rezultatul a fost cel postat pe blog pe 4 iulie (o prezentare a modului cum a fost "hack"-uit Youtube – n.r.).

Ai avut vreodat? acces la documente confiden?iale de pe site-urile sparte? Dac? ai avut acces, de ce nu le-ai f?cut publice (pe modelul Wikileaks)?

Recunosc c? am avut acces la documente confiden?iale, dar prefer s? m? ab?in s? spun ?i ce tip de documente. În plus, nu m? pasioneaz? a?a ceva, nu de alta, dar sunt con?tient c? pot avea probleme grave dac? a? publica sau a? de?ine asemenea informa?ii. Eu vreau doar s? arat cum firme, institu?ii, companii etc. în care s-au investit milioane de dolari pentru securitate pot fi totu?i "sparte". Ceea ce fac eu, din punctul meu de vedere e un lucru bun, pentru c? ar putea veni altcineva cu inten?ii rele – hackerii din categoria "BlackHat" (care acceseaz? site-uri pentru a fura informa?ii sau a d?una companiilor – n.r.) - ?i ar face adev?rate pagube. E un lucru jenant pentru companiile respective, dar totu?i foarte adev?rat.

"M-au f?cut s? m? simt mândru c? sunt român"

E?ti men?ionat în anumite dosare de pres? ale USArmy dup? ce le-ai spart site-uri asociate, sugerându-se c? ai fi "terorist"? Te consideri un terorist?

Nu, nu m? consider terorist, dar mi se pare un lucru firesc s? apar prin acele "dosare de pres?" deoarece totu?i ce am spart ?i publicat are leg?tur? cu armata.

În urm? cu câteva luni, mai mul?i hackeri români, auto-intitula?i Romanian National Security (RNS) au spart site-urile unor mari ziare europene care au publicat ?tiri negative la adresa românilor. Tu ce crezi despre ac?iunile lor?

P?rerea mea despre acei "b?ie?i" e una extraordinar?, mai ales c? m-au f?cut s? m? simt mândru c? sunt român (?i nu cred c? a? fi singurul care a avut asemenea sentimente). Mi-au pl?cut c? au fost de?tep?i ?i au ?tiut cum s? se protejeze, f?r? s? lase vreo urm? despre cine sunt, de unde au ap?rut, sau cum s? fie g?si?i. Bravo lor!

DUP? "LOVITURA" ROYAL NAVY

"Am primit ofert? de a lucra la Google, din SUA"

Cum ai devenit hacker? ?i de ce ai ales asta?

Un lucru care vreau s? se ?tie despre mine: eu nu m? consider hacker. Am observat c? mul?i pu?tani se cred a?a (folosesc programe f?cute de al?ii pentru a putea s? sparg? alte site-uri, ei ne?tiind nici m?car cum func?ioneaz? acele aplica?ii – ??tia, mai pe scurt, sunt numi?i "script-kiddies"). Am decis s? înv?? mai multe despre hacking /security mai mult din ambi?ie. Acum mul?i ani am avut o "echip?" mic?, de pu?ti, unde eram privit de sus de ceilal?i membri, dup? care am fost dat afar?. Din acel moment le-am promis c? în cel mai scurt timp voi fi peste ei la capitolul cuno?tin?e ?i a?a a fost.

Ce ?tii despre legisla?ia din domeniul infrac?iunilor pe internet? E?ti con?tient de posibile urm?ri ale ac?iunilor tale?

Da, sunt con?tient de posibilele urm?ri ale ac?iunilor mele, pentru c? nimic din ceea ce fac eu, s? zic a?a, nu e prea legal. Dar, în acela?i timp, fac un bine, f?r? s? întrec o limit? imaginar? care mi-ar putea aduce probleme.

Nu te temi totu?i c?, la ce tehnologie exist? azi ?i ?inând cont c? ai intrat în aten?ia FBI, de exemplu, vei fi prins?

Sunt mai mult ca sigur c?, dac? cineva ar dori sa ma prind?, gen FBI, CIA etc., ar face-o f?r? mari probleme. În orice caz, "persoanele" care sunt arestate, sunt aceia care se ocupa cu carduri, fraude online, sau, mai clar, aceia care se ocup? de bani! Mie personal mi se pare o prostie s? golesc contul unui om nevinovat care poate a muncit foarte mult s? ob?in? acea sum?.

Totu?i, "hacking"-ul e considerat, pân? la urm?, o infrac?iune. Ce înseamn? pentru tine?

Pentru mine înseamn? "libertate", nu îmi place s? fiu un tip conformist. ?i cred c? dac? ai informa?ia pe care o dore?ti, categoric ai ?i putere.

Nu te deranjeaz? publicitatea, apari în sute de ?tiri în toat? lumea, dai interviuri. De ce?

Nu m? deranjeaz? deloc, pentru ca a?a pot ie?i în eviden??. ?i - de ce nu? - poate cineva e interesat de mine, s? lucrez pentru ei.

Se spune c? mul?i hackeri, dac? sunt prin?i, ajung s? fie angaja?i de FBI sau alte structuri. Te-ar tenta un astfel de job?

Cum spuneam mai sus, da, de ce nu? Ar fi ideal? o asemenea slujb?. În ultimele zile am primit mai multe cereri de interviuri de la pres? ?i chiar o ofert? de a lucra la Google, din SUA.

Sursa: Hacker-ul care a spart site-ul Marinei Britanice: "Nu sunt un terorist" - IT > EVZ.ro

Link to comment
Share on other sites
Nytro Mentor

Nytro

Posted
Posted

"Un lucru care vreau s? se ?tie despre mine: eu nu m? consider hacker. Am observat c? mul?i pu?tani se cred a?a (folosesc programe f?cute de al?ii pentru a putea s? sparg? alte site-uri, ei ne?tiind nici m?car cum func?ioneaz? acele aplica?ii – ??tia, mai pe scurt, sunt numi?i "script-kiddies")"

+1

Kabron: Nu a mintit. Oricum, cred ca isi face degeaba sperante ca il angajeaza cineva, nu prea se cauta astfel de lucruri, daca se axa pe networking, cryptografie statea altfel treaba.

Link to comment
Share on other sites
Guest Kabron

Guest Kabron

Posted
Posted

Kabron: Nu a mintit. Oricum, cred ca isi face degeaba sperante ca il angajeaza cineva, nu prea se cauta astfel de lucruri, daca se axa pe networking, cryptografie statea altfel treaba.

Nu am detaliat , am spus doar fail . Ai dreptate in ceea ce ai spus.

Link to comment
Share on other sites
Guest Praetorian

Guest Praetorian

Posted
Posted
"Am primit ofert? de a lucra la Google, din SUA"

=)))))))))))))))))))))) fail!

Da, dupa 2 zile de la "stirea" asta, un angajat de la Google, mi-a facut o oferta prin care ma intreba daca as fi interesat sa lucrez pt ei, a ramas vorba ca ia legatura cu un recruiter, prin martie, cel tarziu august / septembrie (asta daca nu se rezolva nimic in martie). Domeniu: pentesting (@nytro, se cauta).

Si nu e neaparat nevoie sa nu ma primeasca ei, poate o sa refuz chiar eu, pentru ca trebuie sa renunti la multe lucruri, si nu prea as dori asta! ;)

Link to comment
Share on other sites
Krisler12™ Newbie

Krisler12™

Posted
Posted
Da, dupa 2 zile de la "stirea" asta, un angajat de la Google, mi-a facut o oferta prin care ma intreba daca as fi interesat sa lucrez pt ei, a ramas vorba ca ia legatura cu un recruiter, prin martie, cel tarziu august / septembrie (asta daca nu se rezolva nimic in martie). Domeniu: pentesting (@nytro, se cauta).

Si nu e neaparat nevoie sa nu ma primeasca ei, poate o sa refuz chiar eu, pentru ca trebuie sa renunti la multe lucruri, si nu prea as dori asta! ;)

Raspunde si mie, te rog, la niste intrebari:

1.Ce sistem de operare folosesti cand faci SQLi, XSS ai alte alea ?

2.Cum te protejezi sa nu iti dea de urma ?

3.Folosesti un laptop sau un desktop ptr. asta ?

Multumesc !

Link to comment
Share on other sites
Guest Sicko

Guest Sicko

Posted
Posted
Raspunde si mie' date=' te rog, la niste intrebari:

1.Ce sistem de operare folosesti cand faci SQLi, XSS ai alte alea ?

2.Cum te protejezi sa nu iti dea de urma ?

3.Folosesti un laptop sau un desktop ptr. asta ?

Multumesc ![/quote']

1.Orice sistem de operare care iti da voie sa rulezi un browser?

2.Socks probabil dar sa fim seriosi daca vor te gasesc ( ma refer la FBI , CIA etc )

3.Isi foloseste creierul.

Man sorry ca ma bag dar ce draq is cu intrebarile astea?

Link to comment
Share on other sites
catablue Newbie

catablue

Posted
Posted

Baiete nici nu ti dai seama ce urmeaza sa se intample cu tine. Deja esti filat, o sa zica ca le ai facut prejudicii de 3 4 mil $ si vei fi mare vedeta cand te vor pune sa le platesti sumele astea inapoi. Reclama te face mare, si reclama te omoara. Oricum astea nu ti platesc factura la curent, nu ti dau de mancare si ..stirile de la ora 5 nu s departe.

Bafta

Link to comment
Share on other sites
NeoLithiculX Newbie

NeoLithiculX

Posted
Posted

Oameni buni, ce prejudicii MATERIALE a obtinut TinKode de pe urma demonstrantiei nivelului de securitate al unuia dintre cele mai importante website-uri din U.K adica al armatei? E o intrebare foarte simpla ... cat despre prejudicii morale ce sa-i zic si reginei ca apare pe wikipedia la SQL Injection ... pai sa-si aleaga mai bine oamenii care se ocupa de website si implicit de securitatea lui si dupa sa se planga de imaginea proasta care i se aduce de pe urma exploatarii unei vulnerabilitati. Peace and respect !

Link to comment
Share on other sites
Mish Newbie

Mish

Posted
Posted
TinKode: Eu chiar m-as bucura daca ai lucra la Google sau o alta firma renumita, in acest domeniu, stiu ca asta iti doresti. Dar nu e chiar asa. Pentesting inseamna retelistica, cunostinte foarte bune de programare (C, ASM -> BOFs) si multe altele.

+ 1 , i agree. am un amic din u.k care lucreaza ca pentester . pentest nu inseamna doar sqli pe diferite platforme. inseamna mult mai mult :)

Link to comment
Share on other sites
Guest Praetorian

Guest Praetorian

Posted
Posted
TinKode: Eu chiar m-as bucura daca ai lucra la Google sau o alta firma renumita, in acest domeniu, stiu ca asta iti doresti. Dar nu e chiar asa. Pentesting inseamna retelistica, cunostinte foarte bune de programare (C, ASM -> BOFs) si multe altele.

Stiu la ce te referi, trebuie sa stiu C++ / Java etc, in afara de restul limbajelor, oricum timp pentru invatat mai e destul, nu dau in foc acum.

@Kristler: Ceea ce vezi ca am facut SQLi (a fost doar la asta cu MoD.uk si restul alea vechi, in rest nu a avut nici o legatura cu metoda asta), si folosesc ce am la indemana windows / linux.

Ca sa ma protejez, am eu metodele mele (de ce crezi ca as zice aici unde poate citi oricine)?

Link to comment
Share on other sites
Krisler12™ Newbie

Krisler12™

Posted
Posted (edited)
Stiu la ce te referi, trebuie sa stiu C++ / Java etc, in afara de restul limbajelor, oricum timp pentru invatat mai e destul, nu dau in foc acum.

@Kristler: Ceea ce vezi ca am facut SQLi (a fost doar la asta cu MoD.uk si restul alea vechi, in rest nu a avut nici o legatura cu metoda asta), si folosesc ce am la indemana windows / linux.

Ca sa ma protejez, am eu metodele mele (de ce crezi ca as zice aici unde poate citi oricine)?

Ca sa ne ajuti si pe noi astia mai habarnistii...

Daca nu vrei direct aici atunci poate imi dai un PM. Ce zici ?

Multumesc !

--------------

btw, esti sigur ca era google si nu cumva or fi vrut aia sa afle date despre tine ?

Ma gandesc ca ii era mult mai usor cuiva sa iti trimita un email in care sa zica ca e de la Google si vrea sa te angajeze si ptr. asta te roaga sa completezi un chestionar cu datele tale perosnale. Tu cu ochii in nori ca esti dat si la TV ai acceptat si iaca o aflat omu' ce-o vrut de la tine. :D

Edited by Krisler12™
Link to comment
Share on other sites
Guest Praetorian

Guest Praetorian

Posted
Posted
Ca sa ne ajuti si pe noi astia mai habarnistii...

Daca nu vrei direct aici atunci poate imi dai un PM. Ce zici ?

Multumesc !

--------------

btw, esti sigur ca era google si nu cumva or fi vrut aia sa afle date despre tine ?

Ma gandesc ca ii era mult mai usor cuiva sa iti trimita un email in care sa zica ca e de la Google si vrea sa te angajeze si ptr. asta te roaga sa completezi un chestionar cu datele tale perosnale. Tu cu ochii in nori ca esti dat si la TV ai acceptat si iaca o aflat omu' ce-o vrut de la tine. :D

Ma tu crezi ca sunt vreun idiot, sa imi dau date personale la primul iesit in fata, si care vine la mine cu o "propunere". I-am verificat IP / ISP / Locatie / Numele / Date personale despre el, etc.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...