[AKTUALIZACJA]
Polecamy komentarz eksperta do spraw bezpieczeństwa, który pisze m.in.
Dokument opublikowany przez Happyninjas to pierwszy polski doxing ("ujawnienie kwitów") na członków informatycznego podziemia.
---
Polish Underground - tak podpisali się ludzie, którzy 23 stycznia włamali się na serwis Kancelarii Premiera. Dokonali tzw. deface'u czyli podmiany oryginalnej zawartości witryny na własną treść. Na górze strony umieszczono nagranie z serwisu YouTube ze słynną Baśką z "Baśka blog". Hakerzy zamieścili też dotychczasowy login i hasło do serwisu - odpowiednio "admin" i "admin1". Dalej Grupa Polish Underground odżegnała się od Anonymous i określiła ich mianem "dzieci, które chciały pobawić się w hakerów". Jednocześnie o swoim ataku napisała jako o "nieskrępowanym głosie przeciw ustawie ACTA".
O ile ataki przeprowadzane przez ludzi kojarzonych z grupą Anonymous znajdują się na granicy prawa, o tyle włamanie na stronę i zmiana jest zawartości jest z punktu widzenia prawa przestępstwem karanym z art. 267 kodeksu karnego.
Grupa ludzi występujących jako Happyninjas postanowiła ujawnić autorów włamania na stronę Premiera. Przygotowała więc i umieściła w sieci dokument, w którym szczegółowo opisuje osoby domniemanych sprawców ataku ujawniając ich szczegółowe dane: imię, nazwisko, datę urodzenia, wzrost (!), numer telefonu czy adres. To Łukasz S. i Oskar Z. Znaleźć też można adresy IP, z których łączyli się Polish Underground, oraz kilka szczegółów dotyczących ich życia, miejsca pobytu i komputerów, z którego korzystali.
Informacje o Łukaszu S.:
Oraz o Oskarze Z.
Happyninjas opisują też dotychczasową działalność Łukasza S. Według nich jest on autorem serii włamań do sklepów internetowych. Miał on czasowo podmieniać numer konta, na który klienci przelewali pieniądze na taki, który prowadził do konta bankowego założonego przy użyciu skradzionych dowodów tożsamości.
Wedle opisywanego dokumentu Łukasz S. ma być też winny kradzieży danych osobowych oraz włamania na stronę sądu rejonowego w Wałbrzychu.
Jednak najciekawszy jest zapis logów (danych z serwera rejestrujących jego działanie) z serwerów IRC, które zawierają szczegółowy przebieg rozmów osób biorących udział we włamaniu na stronę Kancelarii Premiera.
i sam moment wejścia na stronę i odkrycia haseł:
Ekspert do spraw bezpieczeństwa, któremu przedstawiliśmy dokument potwierdza, że logi wyglądają bardzo wiarygodnie. Podkreśla, że oczywiście możliwe jest ich sfałszowanie (to zwykłe pliki tekstowe), ale wymaga to sporej wiedzy. Zauważa też, że ujawniający logi usunęli z nich dane umożliwiające prostą identyfikację serwera, na którym była prowadzona rozmowa i listę użytkowników znajdujących się w tym czasie na kanale IRC.
Dodał też:
Każde przestępcze podziemie jest skonfliktowane - ktoś komuś jest winien pieniądze albo narkotyki, ktoś komuś wjechał na terytorium, albo przejął botnet. Demaskacja wroga to najprostszy sposób, żeby pozbyć się konkurenta i można przy tym zapozować na białego kapelusza - hackera pracującego dla praworządności. Informacje zebrano prawdopodobnie przejmując kontrolę nad komputerami obu hackerów, w ten sposób można obserwować co robią i z kim się komunikują. Logi z IRC wyglądają na autentyczne, ale to o niczym nie świadczy, po zebraniu można je dowolnie edytować. Opisy obu podejrzanych pasują do wizerunku typowego sieciowego przestepcy, zajmujacego sie nielegalnymi interesami w sieci i poza nia.
Tacy ludzie lubią dorabiać ideologię do swojej działalności, stąd też możliwy udział w atakach na strony rządowe. Za demaskacją może stać konkurencja, której hałaśliwi gówniarze psują biznes, albo ktokolwiek inny kto ma możliwości techniczne i odpowiednią znajomość internetowego podziemia.
Każde przestępcze podziemie jest skonfliktowane - ktoś komuś jest winien pieniądze albo narkotyki, ktoś komuś wjechał na terytorium, albo przejął botnet. Demaskacja wroga to najprostszy sposób, żeby pozbyć się konkurenta i można przy tym zapozować na "białego kapelusza" - hackera pracującego w imię praworządności. Informacje zebrano prawdopodobnie przejmując kontrolę nad komputerami obu hackerów, w ten sposób można obserwować co robią i z kim się komunikują. Logi z IRC wyglądają na autentyczne, ale to o niczym nie świadczy, po zebraniu można je dowolnie edytować. Opisy obu podejrzanych pasują do wizerunku typowego internetowego przestepcy, zajmujacego sie nielegalnymi interesami w sieci i poza nia.
Tacy ludzie lubią dorabiać ideologię do swojej działalności, stąd też możliwy udział w atakach na strony rządowe. Za demaskacją może stać konkurencja, której hałaśliwi gówniarze psują biznes, albo ktokolwiek inny kto ma możliwości techniczne i odpowiednią znajomość internetowego podziemia.
Serwis Alert24 skontaktował się z Łukaszem S., który zaprzecza, jakoby miał coś wspólnego z włamaniem na serwis Kancelarii Premiera. Przyznaje jednocześnie, że ujawnione dane dotyczące jego osoby są prawdziwe i faktycznie miał opisane zatargi z prawem.
Oto zapis naszej rozmowy:
- Dzień dobry, czy rozmawiam z panem Łukaszem S.?
- Tak (po chwili milczenia), a z kim rozmawiam?
- Jestem dziennikarzem Gazeta.pl, chciałem zapytać o dokumenty, które zostały ujawnione w sieci i mówią o tym, że to pan zaatakował stronę kancelarii premiera.
- Tak, widziałem to już. Te wszystkie dokumenty i umieszczone tam rozmowy zostały spreparowane.
- Czyli nie stał pan za atakiem na stronę kancelarii?
- Nie.
- Obawia się pan, że w związku z tym będzie ktoś pana ścigał?
- Na pewno ktoś będzie mnie w związku z tymi dokumentami ścigał. Natomiast jestem w stanie bardzo łatwo się obronić. To stuprocentowe oszustwo. Nie ma tam na przykład żadnych danych, gdzie i kiedy miały miejsce te rzekome rozmowy.
Jaka jest prawda? Czy ktoś próbuje „wkopać” Łukasza S. korzystając z tego, że już wcześniej był skazany za podobne przestępstwa? I kim właściwie są Happyninjas?
W mailu, który dostaliśmy od nich, wyjaśniają:
Jesteśmy ludźmi, jak Pan i Pana koledzy. Nie reprezentujemy żadnej grupy, nie należymy do żadnych odłamów Anonymous - robimy po prostu to, co uważamy w danej chwili za stosowne. Swoimi metodami.
Dlaczego zdecydowali się na ujawnienie tych informacji?
W zamieszczonym w sieci dokumencie piszą (pisownia oryginalna):
Mamy po prostu ich dość i _demaskujemy_ ich z całą świadomością. Idiotyczne podmiany stron nie robią na nas żadnego wrażenia, ale kradzieże pieniędzy ze stron w internecie, na których być może zakupy robią nasi bliscy nie zostaną zostawione same sobie. Nie wspominając już o e-terroryźmie w postaci ataków na strony rządowe. Koniec pozerki oraz lansu, panowie. Poza tym, "walczycie o wolność słowa w internecie" sprzeciwiając się ACTA? My też - dlatego wszystko będzie jawne i ten dokument zobaczy sporo osób, bo informacja ma być wolna.
a w mailu do nas dopowiadają:
(...) Co by Pan zrobił, posiadając takie dane i wiedząc o całym procederze? Czekał, aż im przejdzie? Czy może zbierał materiały dalej, patrząc na podmiany kolejnych stron? A może nic by Pan nie zrobił?
Czy oczekują, że ludzie rzekomo stojący za Polish Underground będą ścigani przez prawo?
Oczekujemy zakończenia pseudo wojen w Internecie prowadzonych przez te dzieci, chwili spokoju na serwerach hostingowych oraz niskich pingów w Quake-u dzięki braku DDoS.
Pytamy też, czy to możliwe, by ktoś podszył się pod Łukasza S. i Oskara Z.?
Nikt nie podszył się pod nich. Zapis z przebiegu całego deface-u został ujawniony we wklejce. Totalną głupotą z ich strony było występowanie pod swoimi nickami i ze znanych hostów.
Zapytani, dlaczego wycięli z logów IRC niektóre dane, odpowiadają:
Opublikowaliśmy tyle informacji, ile było potrzeba. Pełne logi będą do dyspozycji innych organów (czyt. nie gazety)
Na końcu dokumentu, który opublikowano w sieci czytamy:
Sami Happyninjas wysyłają swoje maile przez konto w sieci Tor, która bardzo skutecznie ukrywa dane nadawcy praktycznie uniemożliwiając jego wytropienie.
Pozostaje pytanie, jak Happyninjas weszli w posiadanie tych zapisów - jeśli w wyniku włamania, to jest to przestępstwo ścigane z tego samego artykułu, co defacing strony premiera.
[AKTUALIZACJA] Dziennikarz Alertu24 skontaktował się z ABW. - Realizujemy czynności procesowe w sprawie włamania na stronę premiera prowadzonej przez Prokuraturę Okręgową w Warszawie. Sprawdzamy wszystkie sygnały, łącznie z tym - poinformowała Katarzyna Koniecpolska-Wróblewska, rzecznik prasowy Agencji.
Informację o materiale Happyninjas uzyskaliśmy z Twittera od użytkownika @tipheret
kontakt z autorami:
Piotr Stanisławski: Twitter @piotreks
Joanna Sosnowska: Twitter @j_sosnowska
