Andrew Auernheimer, cunoscut online ca “Weev”, a primit 3.5 ani de inchisoare pentru simpla accesare a unor pagini ne-securizate de pe site-ul AT&T

Andrew Auernheimer si Daniel Spitler (ambii avand 26 de ani) s-au prins ca site-ul companiei americane AT&T furnizeaza adresa de email a unui utilizator de iPad daca ii trimiti ICC-ID-ul dispozitivului. Bineinteles, exista multe ID-uri de iPad si nu toate sunt pe reteaua 3G AT&T. Dar cum un ID de acest gen este destul de usor de generat, cu un simplu program care trimite, la intamplare, ID-uri aleatorii catre AT&T Andrew Auernheimer si Daniel Spitler au reusit sa obtina adresele de email a 120.000 de utilizatori.

Andrew Auernheimer a.k.a. Weev
Andrew Auernheimer a.k.a. Weev – Sursa foto: mashable.com

Orice website raspunde la request-uri. Chiar si radutanasescu.ro. Daca doriti, de exemplu, ca site-ul meu sa furnizeze o lista de articole in format RSS nu trebuie decat sa scrieti “radutanasescu.ro/feed/” in bara de adresa a browserului (fara ghilimele) si voilla, veti primi feed-ul RSS. In mod similar Andrew Auernheimer si Daniel Spitler au facut multiple request-uri de genul “att.com/ipad-icc-id/” folosind ID-uri la intamplare. Din cauza unei enorme vulnerabilitati de securitate site-ul AT&T divulga email-ul persoanei care detine iPad-ul care are acel ID.

Andrew Auernheimer si Daniel Spitler au reusit sa obtina astfel adresele de email ale multor personalitati care folosesc iPad-uri in reteaua AT&T. Cum ar fi primarul New York-ului Michael Bloomberg, CEO-ul New York Times Janet Robinson, un comandant al armatei americane, Col. William Eldredge si multe persoane care lucreaza la NASA.

Cei doi practic nu au spart nimic. Au facut pur si simplu cereri catre site-ul AT&T, iar site-ul a fost suficient de “generos” sa le ofere adresele de email. Andrew Auernheimer si Daniel Spitler s-au dus imediat la un jurnalist al site-ului Gauker pentru a raporta imensa bresa de securiate. Iar site-ul a publicat un articol dand vina pe Apple, desi problema provine de la AT&T.

Va dati seama cate injuraturi si amenintari cu procese a primit AT&T in acea zi. Cel putin o parte din personalitatile ale caror mail-uri au fost expuse au contactat compania pentru a cere explicatii. Ca sa nu mai vorbim de Apple. Evident directorii executivi de la AT&T n-au fost capabili sa vada incompetenta propriilor lor programatori. In loc sa realizeze ca site-ul lor a fost prost conceput au ales sa considere “hacking” cererile care au generat adrese de email.

Andrew Auernheimer si Daniel Spitler au fost dati in judecata si cel putin Andrew Auernheimer a primit 3.5 ani de inchisoare si o amenda de $73,000. Evident ca vor face apel deciziei curtii, cu sanse mari de a reduce total sentinta.

Verdictul juriului a fost facut posibil de o lege obscura intitulata “Computer Fraud and Abuse Act” conceputa in anii ’80 si evident inadecvata pentru aceasta situatie. Cel mai strigator la cer este ca poti obtine o pedeapsa mai mica in S.U.A. daca droghezi si violezi un minor. Bineinteles, presupunand ca si tu esti, la randul tau, minor. Dar, o cerere trimisa catre un site, nu ar trebui niciodata sa fie pedepsita mai aspru decat un viol, comis de un minor sau de o persoana adulta.

Anonymous au zis-o bine. Andrew Auernheimer trebuie, in schimb, sa drogheze si sa violeze un director executiv de la AT&T:

 

Nu este o crima sa faci o cerere catre un site. Daca site-ul raspunde bine, daca nu, iarasi bine. Si pe site-ul meu puteti sa faceti o cerere de genul “radutanasescu.ro/numar-card-credit/”. Nu inseamna ca ati comis o crima.

Mi-e groaza sa ma gandesc ce legi avem noi in sensul asta…

5 Replies to “Andrew Auernheimer, cunoscut online ca “Weev”, a primit 3.5 ani de inchisoare pentru simpla accesare a unor pagini ne-securizate de pe site-ul AT&T”

    1. Nope. Daca-mi incerci parola sitematic pana o gasesti nu este acelasi lucru cu a trimite request-uri catre site-ul meu.

      Mai ales daca intrii intr-o zona care nu e publica a site-ului meu, dupa care extragi informatii si obtii foloase materiale din asta.

      Poti de asemenea sa-mi stergi toate articolele daca reusesti sa intrii in administrare si sa-mi cauzezi daune in materie de vizite pana cand restaurez un backup.

      Daca se intampla asta, in primul rand m-as uita la securitatea site-ului meu inainte sa te dau in judecata. Pentru ca stiu ca daca tu ai reusit vor reusi si altii.

      Andrew Auernheimer si Daniel Spitler nu au intrat intro zona securizata a site-ului AT&T, au facut doar request-uri si nici macar foarte multe. Daca faceau 80.000 de request-uri pe secunda atunci putea fi interpretat ca un atac de tipul “denial of service”, dar nici macar asta n-au facut.

      In plus, wordpress te blocheaza automat dupa cateva tentative de a introduce parola. Nu e asa de simplu s-o ghicesti si asta e toata ideea.

      1. Radu, toata sfera web lucreaza pe requesturi si raspunsuri indiferent de natura informatiei. Eu daca dau click pe un link de al tau vreau sa vad o informatie. intentia este buna. daca vreau sa-ti ghicesc parola tot request fac dar intentia nu mai este atat de crestina.

        Analogia facuta de mine este cat se poate de apropiata de situatia descrisa in articol. numai ca nu trimit iccd-uri sa-mi fie raspunse adrese de email ci trimit parole pentru a primi raspunsuri.
        Asa cum baietii aia incercau o plaja de iccd-uri si poate nu toate se converteau in adrese de email asa si eu pot baga parole ca poate un raspuns este cel cu cpanelul tau. Aparent inocent nu? S-a intamplat sa-ti nimeresc parola ma consider norocos “finders keepers”. Pana la DDos sau alte echivalente este deja alt scop, nu vreau sa-ti pun masina in cap ci vreau sa-mi raspunda de fiecare data, asa ca nu dau 8000/secunda ci 3/secunda.
        Intrebarea mea era strict referitoare la inocenta cu care i-ai imbracat pe baietii aia.

        Nu zic ca nu a fost o buba la implementare. Cineva s-a ofticat grav acolo sa fim siguri.

        Parerea mea este ca oamenii au facut ceva cu adresele alea de s-a sesizat cineva. informatie care nu era menita sa fie publica.

        Baietii au strans informatia si au oferit-o catre terti probabil. Iar simplu fapt ca au luat-o se poate incadra ca furt la fel cum daca tu ti-ai lasa masina pornita in benzinarie si eu as pleca cu ea.

        Mai facem un caz.
        Daca intrau pe un site si le erau listate adresele pe homepage iar ei le luau si le dadeau la altii care puneau pret pe ele, este la fel de similar cum daca tu ai gasi un portofel pe strada si ti l-ai insusi.

        Deci ca eu sa fac un script de orice gen sa ghicesc ceva ce nu e al meu sau ce nu mi se da cu buna voie cred ca se poate numi furt. fie ca se face prin request/response fie ca se face pe hit&run.

        Nice blog Btw.

        Sanatate

        1. Hei, mersi de compliment 🙂 (pt blog)!

          Teoretic baietii care au luat adresele de mail n-au facut nimic altceva decat sa le trimita la Gauker. In schimb au primit doar glorie 🙂 si nici un folost material.

          S-au prezentat acolo ca o companie ad hoc de securitate. In realitate ei ne avand nici un statut juridic. Din tot ce a facut instanta public nu reiese ca ar fi vandut informatiile, desi e posibil.

          Problema cu legislatia din SUA este ca nu face diferenta intre request-uri pur si simplu si incercari de a sparge o parola. Practic, conform legilor actuale, toti oamenii care acceseaza un site pot fi acuzati si condamnati la aceeasi sentinta (bineinteles, nici un juriu intreg la cap nu ar da un verdict “vinovat” pentru simpla accesare a unui site, dar legea exista).

          Situatia este si mai grava pentru administratorii de retele care fac des teste de securitate. Si ei pot fi oricand acuzati.

          As mai face o distinctie. Informatia sensibila de pe site-ul meu, sau orice site serios, este encriptata. Exista masuri de securitate, create si etichetate in acest sens care trebuie “sparte” (intrun fel sau altul) pentru a ajunge la informatia respectiva.

          Adresele de mail de pe AT&T nu erau encriptate, nu se aflau in spatele unui sistem de securitate si nu erau livrate in pachete criptate.

          Aici cred eu ca trebuie facuta diferenta. Una sunt informatiile publice, la care oricine poate avea acces, iar alta sunt informatiile private cu acces restrictionat.

          Cum definesti acum “acces restrictionat” este alta problema, dar oricum ai face-o nu cred ca sistemul AT&T-ului poate fi incadrat in aceasta categorie. Informatia era, pur si simplu, publica.

          Cred ca problema mai mare este faptul ca AT&T nu a fost sanctionat de nimeni pentru faptul ca adresele de email nu erau protejate de absolut nimic. Si, aparent, oricine care are niste minime cunostiinte de retelistica putea sa le obtina la fel de usor ca Andrew Auernheimer.

          Mai mult, prin pedepsirea unor persoane care n-au facut nimic altceva decat sa expuna probleme grave in sistemele corporatiilor mari, practica de a face publica gaura de securitate poate disparea.

          Cum ar fi fost ca Anonymous sa sparga toate conturile Sony Playstation si sa nu publice rezultatele? Sony n-ar fi aflat niciodata si un grup de hackeri sigur s-ar fi folosit de acele conturi si acum.

          Desigur, cine a spart conturile Sony stia foarte bine ce face si si-a protejat identitatea.

          Andrew Auernheimer nu este nici de departe la fel de capabil, a descoperit o problema si a vrut sa se laude cu asta. N-a spart nimic, n-a accesat nici o informatie securizata si nici n-a obtinut vreun folos material.

          Cine stie de cat timp alti hackeri minau adrese de email, cu intentii mult mai rele si capabilitati mult mai mari.

          Intradevar, distinctia se face greu intre infractiune si request normal, dar consider ca aici trebuie sa intervina o instanta lucida care sa judece corect.

    2. By the way, ai facut un request in momentul in care ai accesat acest articol. De fiecare data cand oricine acceseaza orice site browserul persoanei respective trimite un request.

      In nici un caz la fiecare accesare nu se incearca introducerea unei parole 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *