Er was eens, niet zo lang geleden, in een land hier ver vandaan een snelle zakenjongen ; Arron Barr was zijn naam. Deze snelle jongen was het type zakenman en ‘security expert’ waar sommige mensen instinctmatig een hekel aan hebben : veel praten, hippe bewoordingen en een overdosis aan geliktheid. Aaron had echter een hele grote beperking : Hij dacht heel slim en goed te zijn terwijl hij dat helemaal niet was.
Zie je deze ietwat arrogante gezichtsuitdrukking?
Die heeft hij inmiddels niet meer.
Aaron werke voor een gespecialiseerd beveiligingsbedrijd, HBGary Federal. Van hun website :
The cyber world has grown out of control. State and national law enforcement mechanisms are not equipped to deal with the rapidly evolving threat. The complexity of information systems has far exceeded the ability to secure them, while reliance on these systems has only increased. HBGary has an intimate understanding of this problem; We know that understanding the attacker and his methods is the only way to defeat him. This is the core strength of HBGary and why our technology and services outperform the competition. To us, it’s personal.
Dat is best duidelijke taal. Nu wilde het toeval dat de investeerders van dit bedrijf op zoek waren naar een koper. Aaron, niet alleen manager maar ook aandeelhouder, zocht wanhopig naar een manier om HbGary NOG groter in de markt te zetten zodat het bedrijf (en dus zijn aandelen) meer waard zouden worden. In zijn oneindige wijsheid (stupiditeit) besloot hij om te infiltreren in wat momenteel misschien wel het meest beruchte ‘hackers collectief’ is, Anonymous. Even een hint tussen door : het soort mensen dat over Anonymous praat als zijnde een ‘hackers collectief’ snapt er de ballen van..
Aaron had zijn doel gevonden, en na wekenlang brainstormen en briljante tactische analyses brachten hem tot de conclusie dat hij een aantal ‘vallen’ ging uitzetten voor de leiders van Anonymous, met als doel het verzamelen van persoonsgegevens. Die persoonsgegevens waren dan weer voldoende voor een aanklacht, die op zijn beurt weer zou leiden tot een ware golf van publiciteit. Aaron had het helemaal door, hij hoefde het alleen nog maar even uit te voeren.
De kortste weg naar wachtwoorden en persoonsgegevens is die van social engineering. Dit is een techniek waarbij je gebruik maakt van een combinatie bestaande uit je eigen technische kennis , inzicht in de menselijke natuur, en bluf. Geperfectioneert door niemand minder dan Kevin Mitnick, een van de meest beruchte hackers ooit ironisch genoeg.
Aaron ging dus aan de slag, hij maakte valse Facebook profielen aan, begaf zich op het IRC netwerk, begon te posten op sommige forums en blogs waarvan bekend was dat ‘Anonymous’ er rond hangt en legde belangrijke contacten. Het duurde weken, maanden, maar uiteindelijk was dan het moment van de glorieuse overwinning aangebroken :
Hij had beet, en de wereld was er klaar voor om te weten hoe geweldig hij en zijn bedrijf waren. Hij had een lijst met namen , adresgegevens en ipadressen van enkele van de KOPSTUKKEN van anonymous. En hij zou er mee naar de FBI stappen.
Heftig niet waar? Niemand minder dan enkele van de kopstukken van Anonymous, een groep die ooit begonnen is als anti Scientology beweging op een internetforum waar je gemiddelde internetter echt niets te zoeken hebt (als je hecht aan je geestelijke gezondheid tenminste),bekend geworden door hun demonstraties bij verschillende Schientology kerken, berucht door de DDOS aanvallen op Mastercard , Paypal, en ander sites en organisaties waar de groep zich tegen verzet. Anonymous raakte zelfs zijdelings betrokken bij de revolutie in Egypte door het beschikbaar stellen van servers met versleutelde proxies waardoor de Egyptische nerds in staat waren om hun beelden en boodschappen op het internet te krijgen tijdens de blackout.
Grote vis niet waar?
Nou, nee. Niet echt. Want , en ik heb het al vaker geschreven : Anonymous bestaat niet. Het is geen organisatie, er zijn geen leiders, er zijn geen leden. Wat er wel bestaat is een losvast samenwerkingsverband van individuen die een X aantal overeenkomstige idealen en toekomstdromen delen. Maar er is geen geheim clubje, geen initiatie rite of anderssoortig systeem..ze bestaan eenvoudigweg niet. In alle uitingen die van Anonymous bekend zijn wordt dit haarfijn uitgelegd, maar niemand van de gevestigde orde lijkt dit te (kunnen) snappen. Anonymous is een IDEE. Het is geen vasstaand iets, geen vaste groep van mensen. Zij vormen een steeds wisselende groep van gelijkgestemde individuen, die voor het grootste deel van de tijd (niet) bestaat uit jonge, over het algemeen goed opgeleide, mannen tussen de 14-25 jaar. Ze delen allemaal een affiniteit met ‘Internet Culture’ (wat dat ook moge zijn) en er is nog een heel erg belangrijk ding :
Ze snappen hoe die shit werkt.
En dus, dus liep het allemaal iets anders af dan Aaron in zijn stoutste dromen had kunnen verwachten. Er kwam een statement van Anoymous :Recently, the head of internet security firm HBGary Federal, Aaron Barr, sought to elevate his investigation of the Anonymous movement by providing the Financial Times with what he claimed to be accurate and useful information about those who allegedly drive our activities.In yesterday’s release we inferred that the information presented was easy to undermine by any of the millions of people around the world with a cursory understanding of internet culture. Not only was the information provided by HBGary Federal woefully inaccurate, it provided no incriminating evidence against any of the persons named.Today, Anonymous learned that HBGary Federal intended to sell to the FBI a large document (it can be found at http://hizost.com/d/zjb) that allegedly detailed the identities of dozens of our participants.
Leuk en aardig, maar..dus?
Nou, toen deed Anonymous iets opmerkelijks. Deze keer geen DDos aanval op een website, maar een hack. De website van HBgary Federal bleek kwestbaar voor een vrij eenvoudige aanval : een SQL injectie. Met als gevolg dit :
Redelijk hilarisch om dat op de voorpagina van een beveiliginsbedrijf te zien. Dit plaatje werd snel verwijderd door een waakzame admin, waarna een wat subtielere aanpak volgde :
Nou ja, subtiel..
Op de achtergrond wisten enkele Anons echter ook het netwerk binnen te dringen, en (onder andere) controle te krijgen over de emailserver. En zoals iedereen tegenwoordig in een bedrijfsmatige omgeving : er werd gebruik gemaakt van Imap. Dus alle mails stonden op die server..
Resultaat? Anonleaks.ru
(site kan platliggen, dan is er binnen een paar uur weer een andere..)
De Anonymous versie van Wikileuks. Alle emailcorrespondentie die ooit met en door medewerkers van HbGary gevoerd is is online gezet, met een zoek functie voor de sappige details. En sappige details waren er genoeg! Aaron bleek opensource netwerk tools voor veel geld te verkopen, zijn huwelijk stond al enige tijd op springen, hij en zijn collega’s speelden urenlang Wow onder werktijd, Hbgary bleek betrokken bij anti wikileaks campagnes, er werd veel geld verdient aan de amerikaanse overheid via methodes die eigenlijk het beste als ‘oplichting’ gekwalificeerd kunnen worden..
En daar hield het nog niet op. Twitteraccounts, linkedin, Facebook..alle wachtwoorden waren in handen gevallen van Anonymous, Het werd zelfs zo erg dat de CEO van HBGary op IRC kwam smeken aan Anonymous om ‘alsjeblieft’ op te houden. Er ontstond een interessant gesprek :
<&Sabu> penny. before we get started–know that we have all email communication between you and everyone in hbgary. so my first question would be why would you allow aaron to sell such garbage under your company name?
<&Sabu> Penny: did you also know that aaron was peddling fake/wrong/false information leading to the potential arrest of innocent people/
<+Penny> I did know he was doing research on social media and the problem associated with it, the ease of pretending to be one of you
<+Penny> He was never planning on giving it to the gov’t. He was never going to release names, just talk about handles
<Eddy> are you aware all data he collected are incorrect?
<+Penny> We have no idea we have not seen the list and we are kind of pissed at him right now
<+Penny> Yeap it was supposed to show RSA people how easy it is for people to “say” they are someone and not be that person
<&Sabu> Penny: if what you are saying is tree then why is Aaron meeting with the FBI tomorrow morning at 11am? PLEASE KEEP IN MIND WE HAVE ALL YOUR EMAILS.
<+Penny> OK, we do NOT have the data, Aaron has the data. We don’t even sell a social media product,
<@q> Penny: well the pdf is in the topic, check for yourself. it has info like “Bonny Clyde” and “Guy Fawkes”
<+Penny> Aaron is not an employee he is the CEO of HBGary Federal HBGary Federal is an LLC that is owned by individuals
<+Penny> This really was nothing to do with Anon just you were in the news,
<+Agamemnon> Penny do you understand that we fight for YOUR right to free speech? We take great persoanl risk to defend the right of everyone to have free speech. Do you appreciate that?
<&Sabu> penny. we will not target hbgary.com. its done. what you can do is motivate your investment from hbgaryfederal over to bradley mannings defense fund. and distance yourselves from aaron barnetts’ research
(Bradley Mannings is de soldaat die al maanden onder barbaarse omstandigheden vastzit omdat hij er van wordt verdacht een groot deel van de recente Wikileaks documenten gelekt te hebben). Ik wil de saga van de ongelukkige Aaron Barr die niet de hoofdprijs kreeg waar hij zo naar verlangde graag afsluiten met enkele prachtige stukjes uit de emailcorrespondentie van deze dwaas, ‘gewoon omdat het kan’ :
On Fri, Aug 6, 2010 at 7:19 AM, Aaron Barr <adbarr@me.com> wrote:
> Greg,
>
> Can I get the Stuxnet samples you and Phil have? There are some
> interesting things happening and I have been asked if I could provide
> samples to a certain government organization (not one of the ones you might
> think – an oversight group).
>
> Aaron
(Stuxnet)
I
love that you need to have foam in your coffee and one ice cube. I love
that you are creative in the morning. I love your spiky bed head hair. I
think it’s so cute you are getting into clothing. I had so much fun
that day. I love that you love the dogs and you made Guiness your
fishing buddy.
(he loves it to, he told me) I love that Carmel is
our place and you like to just hang out and talk on the beach. I love
when you wear your fuzzy
socks with your jammies. I love kissing you
(we keep saying we should do that more, we should, make it a rule) I
love the way you smell. I love that
you tell me you are going to
sleep in then don’t. I love that you have no idea what bottle of wine is
expensive or not. I love that you let me listen
to my songs on your
iPad and I even have radio stations. I love that you say you won’t set
up the internet and such, but you do. I love that you
have tons of
tools you never use but think you will. I think it’s totally amazing you
tell me when you feel hurt by things like Jamie
training/posts/copying you. That’s so real. I like that part of you.
Ah , hartverwarmend.. een opbloeiende liefde 🙂
I want to get this out right away.
My job as a security professional and as the CEO of a security services
company is to understand the current and future threats that face
individuals, corporations, and nations. I have understood for some time
that social media is our next great vulnerability and I have attempted
to get that message heard. When considering my research topic for the
BSIDES security conference this month I wanted to choose subjects that
would clearly demonstrate that message, and I chose three – a critical
infrastructure facility, a military installation, and the Anonymous group…As
I mentioned I will also be demonstrated the ease at which an adversary
can target and exploit a military installation and critical
infrastructure facility using social media targeting and exploitation
methods.
Aaron Barr
CEO
HBGary Federal