Goatse Security ( GoatSec ) era un grupo de hackers de sombrero gris [15] de nueve personas [14 ] que se especializaba en descubrir fallas de seguridad. [3] [17] Es una división de la organización de trolling de Internet anti-blogging conocida como la Asociación de Negros Gay de América (GNAA). [2] El grupo deriva su nombre del sitio de choque Goatse.cx , [5] y eligió "Gaping Holes Exposed" como su lema . [13] El sitio web fue abandonado sin una actualización desde mayo de 2014. [18]
Formación | Diciembre de 2009 [3] |
---|---|
Propósito | Hackear |
Afiliación | Andrew "weev" Auernheimer [4] [5] Sam Hocevar [4] [6] [7] Daniel Spitler [4] [8] Leon Kaiser [2] [4] Nick "Rucas" Price [4] [9] [ 10] |
Productos | Apretar [11] [12] |
Sitio web | seguridad .goatse .fr (extinto) |
En junio de 2010, Goatse Security obtuvo las direcciones de correo electrónico de aproximadamente 114.000 usuarios de iPad de Apple. Esto llevó a una investigación del FBI y a la presentación de cargos penales contra dos de los miembros del grupo.
Establecimiento
La GNAA tenía varios investigadores de seguridad entre sus miembros. Según el portavoz de Goatse Security, Leon Kaiser, la GNAA no podía utilizar plenamente sus talentos ya que el grupo creía que no habría nadie que se tomara en serio los datos de seguridad publicados por la GNAA. Con el fin de crear un medio a través del cual los miembros de la GNAA puedan publicar sus hallazgos de seguridad, la GNAA creó Goatse Security en diciembre de 2009. [2] [3]
Descubrimiento de vulnerabilidades del navegador
Para proteger su navegador web de la explotación entre protocolos , Mozilla bloqueó varios puertos a los que los formularios HTML normalmente no tendrían acceso. En enero de 2010, la GNAA descubrió que los bloques de Mozilla no cubrían el puerto 6667 , lo que dejaba a los navegadores de Mozilla vulnerables a los scripts de protocolo cruzado. La GNAA creó un exploit basado en JavaScript para inundar los canales de IRC . Aunque EFnet y OFTC pudieron bloquear los ataques, Freenode luchó para contrarrestarlos. Goatse Security expuso la vulnerabilidad y uno de sus miembros, Andrew Auernheimer, alias " weev ", publicó información sobre el exploit en Encyclopedia Dramatica . [19] [20] [21]
En marzo de 2010, Goatse Security descubrió una vulnerabilidad de desbordamiento de enteros dentro del navegador web de Apple, Safari , y publicó un exploit en Encyclopedia Dramatica. [22] Descubrieron que una persona podía acceder a un puerto bloqueado agregando 65.536 al número de puerto. [23] [24] Esta vulnerabilidad también se encontró en Arora , [25] iCab , [26] OmniWeb , [27] y Stainless. [28] Aunque Apple solucionó el problema técnico de las versiones de escritorio de Safari en marzo, la compañía dejó el problema sin solucionar en las versiones móviles del navegador. [22] [29] Goatse Security afirmó que un pirata informático podría explotar la falla de Safari móvil para obtener acceso y dañar el iPad de Apple . [22] [29]
Fuga de direcciones de correo electrónico de AT&T / iPad
En junio de 2010, Goatse Security descubrió una vulnerabilidad en el sitio web de AT&T . [30] [31] AT & T fue el único proveedor de 3G servicio para de Apple 's IPAD en el Estados Unidos en el momento. [32] Al registrarse en el servicio 3G de AT&T desde un iPad, AT&T recupera el ICC-ID de la tarjeta SIM del iPad y lo asocia con la dirección de correo electrónico proporcionada durante el registro. [30] [33] Para facilitar el proceso de inicio de sesión desde el iPad, el sitio web de AT&T recibe el ICC-ID de la tarjeta SIM y rellena previamente el campo de dirección de correo electrónico con la dirección proporcionada durante el registro. [30] [33] Goatse Security se dio cuenta de que al enviar una solicitud HTTP con un ICC-ID válido incrustado en su interior al sitio web de AT&T, el sitio web revelaría la dirección de correo electrónico asociada con ese ICC-ID. [30] [33]
El 5 de junio de 2010, Daniel Spitler, también conocido como "JacksonBrown", comenzó a discutir esta vulnerabilidad y las posibles formas de explotarla, incluido el phishing , en un canal de IRC. [8] [34] [35] Goatse Security construyó un script de fuerza bruta basado en PHP que enviaría solicitudes HTTP con ICC-ID aleatorios al sitio web de AT&T hasta que se ingrese un ICC-ID legítimo, que devolvería la dirección de correo electrónico correspondiente a el ICC-ID. [30] [33] Este script se denominó "Slurper de cuenta de iPad 3G". [35]
Luego, Goatse Security intentó encontrar una fuente de noticias adecuada para revelar la información filtrada, y Auernheimer intentó ponerse en contacto con los ejecutivos de News Corporation y Thomson Reuters , incluido Arthur Siskind , sobre los problemas de seguridad de AT&T. [36] El 6 de junio de 2010, Auernheimer envió correos electrónicos con algunos de los ICC-ID recuperados para verificar sus afirmaciones. [34] [36] Los registros de chat de este período también revelan que la atención y la publicidad pueden haber sido incentivos para el grupo. [37]
Contrariamente a lo que afirmó al principio, el grupo inicialmente reveló la falla de seguridad a Gawker Media antes de notificar a AT&T [37] y también expuso los datos de 114.000 usuarios de iPad, incluidos los de celebridades, el gobierno y el ejército. Estas tácticas volvieron a provocar un debate significativo sobre la divulgación adecuada de las fallas de seguridad de TI. [38]
Auernheimer ha sostenido que Goatse Security utilizó prácticas estándar comunes de la industria y ha dicho que "Intentamos ser los buenos". [38] [39] Jennifer Granick de Electronic Frontier Foundation también ha defendido las tácticas utilizadas por Goatse Security. [38]
El 14 de junio de 2010, Michael Arrington de TechCrunch otorgó al grupo un premio Crunchie por servicio público. Esta fue la primera vez que se otorgó un Crunchie fuera de la ceremonia anual de premios Crunchies. [40] [41]
A continuación, el FBI abrió una investigación sobre el incidente [42], lo que dio lugar a una denuncia penal en enero de 2011 [10] y una redada en la casa de Auernheimer. La búsqueda estaba relacionada con la investigación de AT&T y, posteriormente, Auernheimer fue detenido y puesto en libertad bajo fianza [43] por cargos estatales de drogas, [44] posteriormente retirado. [45] Luego de su liberación bajo fianza, rompió una orden de mordaza para protestar y disputar la legalidad del allanamiento de su casa y denegación de acceso a un defensor público . También pidió donaciones a través de PayPal , para sufragar los costos legales. [16] [46] En 2011, el Departamento de Justicia anunció que será acusado de un cargo de conspiración para acceder a una computadora sin autorización y un cargo de fraude. [45] Un coacusado, Daniel Spitler, fue puesto en libertad bajo fianza. [47] [48]
El 20 de noviembre de 2012, Auernheimer fue declarado culpable de un cargo de fraude de identidad y un cargo de conspiración para acceder a una computadora sin autorización, [49] y tuiteó que apelaría el fallo. [50] Alex Pilosov, un amigo que también estuvo presente en el fallo, tuiteó que Auernheimer permanecería en libertad bajo fianza hasta que se dicte sentencia, "que será por lo menos 90 días fuera". [51]
El 29 de noviembre de 2012, Auernheimer escribió un artículo en la revista Wired titulado "Olvídese de la divulgación: los piratas informáticos deben mantener los agujeros de seguridad para sí mismos", en el que aboga por la divulgación de cualquier explotación de día cero solo a las personas que "la utilizarán en interés de la justicia social". . " [52]
El 11 de abril de 2014, el Tercer Circuito emitió una opinión anulando la condena de Auernheimer, sobre la base de que el lugar en Nueva Jersey era inadecuado. [53] [54] Los jueces no abordaron la cuestión de fondo sobre la legalidad del acceso al sitio. [55] Fue puesto en libertad a última hora del 11 de abril. [56]
Otros logros
En mayo de 2011, Goatse Security reveló una vulnerabilidad DoS que afectaba a varias distribuciones de Linux , después de que el grupo descubriera que una URL extensa de la herramienta de empaquetado avanzado haría que compiz se bloqueara. [57]
En septiembre de 2012, Goatse Seguridad fue acreditado por Microsoft para ayudar a asegurar sus servicios en línea. [9]
Referencias
- ^ Tate, Ryan (9 de junio de 2010). "AT&T lucha contra la propagación del miedo al iPad" . Valleywag . Gawker Media . Archivado desde el original el 15 de julio de 2010 . Consultado el 17 de octubre de 2010 .
- ^ a b c d Kaiser, Leon (19 de enero de 2011). "Entrevista: seguridad de Goatse sobre cargos del FBI después de violación de iPad de AT&T" . DailyTech (Entrevista: Transcripción). Entrevistado por Mick Jason. Archivado desde el original el 31 de marzo de 2014 . Consultado el 21 de enero de 2011 .
- ^ a b c Dowell, Andrew (17 de junio de 2010). "Programador detenido después de la búsqueda del FBI" . El Wall Street Journal . Dow Jones & Company, Inc. Consultado el 11 de octubre de 2010 .
- ^ a b c d e "Equipo" . Seguridad Goatse . Seguridad Goatse. 14 de junio de 2010 . Consultado el 22 de septiembre de 2010 .
- ^ a b Chokshi, Niraj (10 de junio de 2010). "Conoce a uno de los piratas informáticos que expuso la fuga de seguridad del iPad" . El Atlántico . The Atlantic Monthly Group . Consultado el 16 de septiembre de 2010 .
- ^ Keizer, Gregg (17 de junio de 2010). "Hacker de iPad arrestado por múltiples cargos de drogas después de la búsqueda del FBI" . Computerworld . Computerworld Inc . Consultado el 16 de septiembre de 2010 .
- ^ Mick, Jason (14 de junio de 2010). "AT&T se disculpa con los clientes de iPad, revelamos las configuraciones regionales de los piratas informáticos" . DailyTech . DailyTech LLC . Consultado el 16 de septiembre de 2010 .
- ^ a b Bilton, Nick; Wortham, Jenna (18 de enero de 2011). "Dos son acusados de fraude en violación de seguridad del iPad" . The New York Times . Consultado el 21 de enero de 2011 .
- ^ a b "Reconocimientos del investigador de seguridad para los servicios en línea de Microsoft" . Microsoft . Consultado el 19 de octubre de 2012 .
- ^ a b Tribunal de distrito de los Estados Unidos - Tribunal de distrito de Nueva Jersey, Expediente: MAG 11-4022 (CCC). Presentado ante el tribunal el 13 de enero de 2011
- ^ "Clench, nuestra forma de decir" jódete "con SSL PKI para siempre" . Seguridad Goatse . Seguridad Goatse. 8 de septiembre de 2010 . Consultado el 29 de octubre de 2010 .
- ^ Lawson, Nate (8 de septiembre de 2010). "Clench es inferior a TLS + SRP" . root labs rdist . Nate Lawson . Consultado el 29 de octubre de 2010 .
- ^ a b Ragan, Steve (10 de junio de 2010). "AT&T pierde 114.000 direcciones de correo electrónico por error de secuencia de comandos" . El Tech Herald . WOTR Limited. Archivado desde el original el 18 de noviembre de 2011 . Consultado el 28 de septiembre de 2010 .
- ^ Eunjung Cha, Ariana (12 de junio de 2010). "La violación de seguridad del iPad de Apple revela la vulnerabilidad de los dispositivos móviles" . Washington Post . Consultado el 6 de abril de 2011 .
- ^ Kirsch, Cassandra (2014). "El hacker de sombrero gris: reconciliación de la realidad del ciberespacio y la ley" (PDF) . Revisión de la ley del norte de Kentucky . 41 : 386.
- ^ a b El 'hacker' de iPad de AT&T rompe la orden de mordaza para despotricar contra la policía The Register , John Leyden. 7 de julio de 2010
- ^ Tate, Ryan (10 de junio de 2010). "La violación del iPad de Apple genera alarmas" . Todas las cosas consideradas (entrevista: audio / transcripción). Entrevistado por Melissa Block . Radio Pública Nacional . Consultado el 16 de septiembre de 2010 .
- ^ http://security.goatse.fr/compiz-denial-of-service-vulnerability
- ^ Constantin, Lucian (30 de enero de 2010). "Error de Firefox utilizado para acosar a toda la red de IRC" . Softpedia . Softpedia . Consultado el 19 de septiembre de 2010 .
- ^ Goodin, Dan (30 de enero de 2010). "El ataque basado en Firefox causa estragos en los usuarios de IRC" . El registro . Publicación de situaciones . Consultado el 19 de septiembre de 2010 .
- ^ Goodin, Dan (9 de junio de 2010). "Error de seguridad expone direcciones de iPaders de élite" . El registro . Publicación de situaciones . Consultado el 19 de septiembre de 2010 .
- ^ a b c Keizer, Gregg (14 de junio de 2010). "AT&T 'deshonesto' sobre la amenaza de ataque de iPad, dicen los piratas informáticos" . Computerworld . Computerworld Inc . Consultado el 18 de septiembre de 2010 .
- ^ Ragan, Steve (14 de junio de 2010). "Goatse Security le dice a AT&T: 'Te jodiste ' " . El Tech Herald . WOTR Limited. pag. 2. Archivado desde el original el 3 de octubre de 2011 . Consultado el 6 de octubre de 2010 .
- ^ "CVE-2010-1099" . Base de datos nacional de vulnerabilidad . NIST . 24 de marzo de 2010 . Consultado el 6 de octubre de 2010 .
- ^ "CVE-2010-1100" . Base de datos nacional de vulnerabilidad . NIST . 24 de marzo de 2010 . Consultado el 6 de octubre de 2010 .
- ^ "CVE-2010-1101" . Base de datos nacional de vulnerabilidad . NIST . 24 de marzo de 2010 . Consultado el 6 de octubre de 2010 .
- ^ "CVE-2010-1102" . Base de datos nacional de vulnerabilidad . NIST . 24 de marzo de 2010 . Consultado el 6 de octubre de 2010 .
- ^ "CVE-2010-1103" . Base de datos nacional de vulnerabilidad . NIST . 24 de marzo de 2010 . Consultado el 6 de octubre de 2010 .
- ^ a b Goldman, David (14 de junio de 2010). "Los piratas informáticos dicen que el iPad tiene más agujeros de seguridad" . CNNMoney.com . CNN . Consultado el 18 de septiembre de 2010 .
- ^ a b c d e Keizer, Gregg (10 de junio de 2010). " ' Script de fuerza bruta' arrancó direcciones de correo electrónico de iPad" . Computerworld . Computerworld Inc . Consultado el 18 de septiembre de 2010 .
- ^ Tate, Ryan (9 de junio de 2010). "Peor violación de seguridad de Apple: 114.000 propietarios de iPad expuestos" . Valleywag . Gawker Media . Archivado desde el original el 26 de julio de 2010 . Consultado el 16 de septiembre de 2010 .
- ^ Ante, Spencer E. (10 de junio de 2010). "AT&T revela violación de los datos del propietario del iPad" . El Wall Street Journal . Dow Jones & Company, Inc. Consultado el 26 de septiembre de 2010 .
- ^ a b c d Buchanan, Matt (9 de junio de 2010). "La pequeña característica que llevó a la violación de seguridad del iPad de AT&T" . Gizmodo . Gawker Media . Consultado el 22 de septiembre de 2010 .
- ^ a b Denuncia penal archivada el 25 de enero de 2011 en Wayback Machine . Tribunal de Distrito de los Estados Unidos - Tribunal de Distrito de Nueva Jersey, Expediente: MAG 11-4022 (CCC). Presentado ante el tribunal el 13 de enero de 2011
- ^ a b Voreacos, David (18 de enero de 2011). "EE.UU. anuncia cargos por presunto pirateo en servidores de AT&T a través de usuarios de iPad" . Bloomberg.com . Bloomberg LP Consultado el 21 de enero de 2011 .
- ^ a b McMillan, Robert (15 de diciembre de 2010). "AT&T IPad Hacker luchó por la atención de los medios, muestran documentos" . PC World . PC World Communications, Inc . Consultado el 16 de diciembre de 2010 .
- ^ a b Foresman, Chris (19 de enero de 2011). "Los trolls de Goatse Security buscaban" max lols "en AT&T iPad hack" . Ars Technica . Consultado el 22 de enero de 2011 .
- ^ a b c Worthen, Ben; Spencer E. Ante (14 de junio de 2010). "Los expertos en informática enfrentan una reacción violenta" . WSJ.com .
- ^ Leydon, John (7 de julio de 2010). "El 'hacker' del iPad de AT&T rompe la orden de mordaza para despotricar contra la policía" . El registro . Consultado el 16 de febrero de 2011 .
- ^ Arrington, Michael (14 de junio de 2010). "Estamos otorgando a Goatse Security un premio Crunchie por servicio público" . Tech Crunch . Consultado el 31 de marzo de 2010 .
- ^ Patterson, Ben (14 de junio de 2010). "AT&T se disculpa por la violación del iPad, culpa a los piratas informáticos" . Yahoo! Noticias . Consultado el 31 de marzo de 2010 .
- ^ Tate, Ryan (9 de junio de 2010). "Peor violación de seguridad de Apple: 114.000 propietarios de iPad expuestos" . Gawker.com . Gawker Media . Archivado desde el original el 12 de junio de 2010 . Consultado el 13 de junio de 2010 .
- ^ Emspak, Jesse; Perna, Gabriel (17 de junio de 2010). "Sitio web de hacker arrestado revela opiniones extremistas" . Tiempos de negocios internacionales . Tiempos de negocios internacionales . Consultado el 11 de julio de 2010 .
- ^ Dowell, Andrew (17 de junio de 2010). "Programador detenido después de la búsqueda del FBI" . El Wall Street Journal .
- ^ a b "Cargos criminales presentados contra atacantes de iPad de AT&T - Computerworld" . 18 de enero de 2011.
- ^ weev. "Hipócritas y fariseos" . Goatse.fr. Archivado desde el original el 24 de mayo de 2017 . Consultado el 18 de abril de 2011 .
- ^ Voigt, Kurt (21 de enero de 2011). "No hay fianza para el segundo sospechoso de robo de direcciones de correo electrónico de iPad" . MSNBC.com . Prensa asociada . Consultado el 15 de febrero de 2011 .
- ^ Porter, David (28 de febrero de 2011). "Sospechoso de robo de datos de iPad liberado bajo fianza en Nueva Jersey" . ABC News . Prensa asociada . Consultado el 2 de marzo de 2011 .
- ^ Zetter, Kim (20 de noviembre de 2012). "Hacker declarado culpable de violar el sitio de AT&T para obtener datos de clientes de iPad | Nivel de amenaza | Wired.com" .
- ^ "Estado de Twitter, 3:38 p. M. - 20 de noviembre de 12" .
- ^ "Estado de Twitter, 3:32 p. M. - 20 de noviembre de 12" .
- ^ Bierend, Doug (29 de noviembre de 2012). "Olvídese de la divulgación: los piratas informáticos deben mantener los agujeros de seguridad para ellos mismos" . Cableado .
- ^ Caso: 13-1816 Documento: 003111586090
- ^ Kravets, David (11 de abril de 2014). "La corte de apelaciones revierte la condena y la sentencia de hacker / troll" weev " . Ars Technica . Consultado el 11 de abril de 2014 .
- ^ Hill, Cachemira (11 de abril de 2014). "Weev liberado, pero la corte se inclina hacia una pregunta más grande de 'investigación de seguridad contra piratería'" . Forbes . Consultado el 11 de abril de 2014 .
- ^ Voreacos, David (14 de abril de 2014). "Fiestas y tweets de AT&T Hacker 'Weev' como caso aún se avecina" . Bloomberg . Consultado el 14 de abril de 2014 .
- ^ Constantin, Lucian (16 de mayo de 2011). "Vulnerabilidad peligrosa de denegación de servicio de Linux revelada como día 0" . Softpedia . Consultado el 25 de marzo de 2014 .
enlaces externos
- Página web oficial