Sécurité des chèvres - Goatse Security
 Logo de sécurité de chèvre
| |
| Formation | décembre 2009 |
|---|---|
| But | Piratage |
Adhésion |
Andrew "weev" Auernheimer Sam Hocevar Daniel Spitler Leon Kaiser Nick "Rucas" Prix |
Des produits |
Serrer |
| Site Internet |
security |
Goatse Security ( GoatSec ) était un groupe de hackers au chapeau gris de neuf personnes qui se spécialisait dans la découverte de failles de sécurité. Il s'agit d'une division de l'organisation anti-blogging Internet à la traîne connue sous le nom de Gay Nigger Association of America (GNAA). Le groupe tire son nom du site de choc Goatse.cx , et il a choisi "Gaping Holes Exposed" comme slogan . Le site est abandonné sans mise à jour depuis mai 2014.
En juin 2010, Goatse Security a obtenu les adresses e - mail d'environ 114 000 utilisateurs d'iPad d'Apple. Cela a conduit à une enquête du FBI et au dépôt d'accusations criminelles contre deux des membres du groupe.
Fondateur
La GNAA comptait plusieurs chercheurs en sécurité parmi ses membres. Selon le porte-parole de Goatse Security, Leon Kaiser, la GNAA n'a pas pu utiliser pleinement ses talents car le groupe pensait que personne ne prendrait au sérieux les données de sécurité publiées par la GNAA. Afin de créer un support par lequel les membres de la GNAA peuvent publier leurs conclusions en matière de sécurité, la GNAA a créé Goatse Security en décembre 2009.
Découverte des vulnérabilités du navigateur
Afin de protéger son navigateur Web de l' exploitation inter-protocole , Mozilla a bloqué plusieurs ports auxquels les formulaires HTML n'auraient normalement pas accès. En janvier 2010, la GNAA a découvert que les blocs de Mozilla ne couvraient pas le port 6667 , ce qui rendait les navigateurs Mozilla vulnérables aux scripts inter-protocoles. Le GNAA a conçu un exploit basé sur JavaScript afin d' inonder les canaux IRC . Bien qu'EFnet et OFTC aient pu bloquer les attaques, Freenode a eu du mal à contrer les attaques. Goatse Security a exposé la vulnérabilité, et l'un de ses membres, Andrew Auernheimer, alias « weev », a publié des informations sur l'exploit sur Encyclopedia Dramatica .
En mars 2010, Goatse Security a découvert une vulnérabilité de débordement d'entier dans le navigateur Web d'Apple, Safari , et a publié un exploit sur Encyclopedia Dramatica. Ils ont découvert qu'une personne pouvait accéder à un port bloqué en ajoutant 65 536 au numéro de port. Cette vulnérabilité a également été trouvée dans Arora , iCab , OmniWeb et Stainless. Bien qu'Apple ait corrigé le problème des versions de bureau de Safari en mars, la société a laissé le problème non résolu dans les versions mobiles du navigateur. Goatse Security a affirmé qu'un pirate informatique pourrait exploiter la faille Safari mobile afin d'accéder et de causer des dommages à l' iPad d' Apple .
Fuite d'adresse e-mail AT&T/iPad
En juin 2010, Goatse Security a découvert une vulnérabilité sur le site Web d' AT&T . AT & T est le seul fournisseur de 3G service d' Apple de l' iPad aux États-Unis à l'époque. Lors de l'inscription au service 3G d'AT&T à partir d'un iPad, AT&T récupère l' ID ICC de la carte SIM de l'iPad et l'associe à l'adresse e-mail fournie lors de l'inscription. Afin de faciliter le processus de connexion à partir de l'iPad, le site Web d'AT&T reçoit l'ID ICC de la carte SIM et pré-remplit le champ d'adresse e-mail avec l'adresse fournie lors de l'inscription. Goatse Security s'est rendu compte qu'en envoyant une requête HTTP avec un ICC-ID valide intégré au site Web d'AT&T, le site Web révélerait l'adresse e-mail associée à cet ICC-ID.
Le 5 juin 2010, Daniel Spitler, alias "JacksonBrown", a commencé à discuter de cette vulnérabilité et des moyens possibles de l'exploiter, y compris le phishing , sur un canal IRC. Goatse Security a construit un script de force brute basé sur PHP qui enverrait des requêtes HTTP avec des ICC-ID aléatoires au site Web d'AT&T jusqu'à ce qu'un ICC-ID légitime soit entré, qui renverrait l'adresse e-mail correspondant à l'ICC-ID. Ce script a été surnommé le "Slurper de compte iPad 3G".
Goatse Security a ensuite tenté de trouver une source d'information appropriée pour divulguer les informations divulguées, Auernheimer tentant de contacter les dirigeants de News Corporation et de Thomson Reuters , y compris Arthur Siskind , au sujet des problèmes de sécurité d'AT&T. Le 6 juin 2010, Auernheimer a envoyé des courriels avec certains des ICC-ID récupérés afin de vérifier ses affirmations. Les journaux de discussion de cette période révèlent également que l'attention et la publicité ont pu être des incitations pour le groupe.
Contrairement à ce qu'il prétendait d'abord, le groupe a d'abord révélé la faille de sécurité à Gawker Media avant d'en informer AT&T et a également exposé les données de 114 000 utilisateurs d'iPad, dont celles de célébrités, du gouvernement et de l'armée. Ces tactiques ont de nouveau provoqué un débat important sur la divulgation appropriée des failles de sécurité informatique.
Auernheimer a soutenu que Goatse Security utilisait des pratiques standard courantes de l'industrie et a déclaré que "Nous avons essayé d'être les bons". Jennifer Granick de l' Electronic Frontier Foundation a également défendu les tactiques utilisées par Goatse Security.
Le 14 juin 2010, Michael Arrington de TechCrunch a décerné au groupe un prix Crunchie pour service public. C'était la première fois qu'un Crunchie était décerné en dehors de la cérémonie annuelle de remise des prix Crunchies.
Le FBI a alors ouvert une enquête sur l'incident, débouchant sur une plainte pénale en janvier 2011 et une descente dans la maison d'Auernheimer. La perquisition était liée à l'enquête d'AT&T et Auernheimer a par la suite été détenu et libéré sous caution pour des accusations de drogue de l'État, avant d'être abandonné. Après sa libération sous caution, il a enfreint une ordonnance de bâillon pour protester et contester la légalité de la perquisition à son domicile et du refus d'accès à un défenseur public . Il a également demandé des dons via PayPal , pour couvrir les frais de justice. En 2011, le ministère de la Justice a annoncé qu'il serait inculpé d'un chef de complot en vue d'accéder à un ordinateur sans autorisation et d'un chef de fraude. Un coaccusé, Daniel Spitler, a été libéré sous caution.
Le 20 novembre 2012, Auernheimer a été reconnu coupable d'un chef d'accusation d'usurpation d'identité et d'un chef de complot pour accéder à un ordinateur sans autorisation, et a tweeté qu'il ferait appel de la décision. Alex Pilosov, un ami qui était également présent pour la décision, a tweeté qu'Auernheimer resterait en liberté sous caution jusqu'à la condamnation, "qui sera au moins 90 jours".
Le 29 novembre 2012, Auernheimer a écrit un article dans le magazine Wired intitulé "Forget Disclosure - Hackers Should Keep Security Holes to Themselves", préconisant la divulgation de tout exploit zero-day uniquement aux individus qui "l'utiliseront dans l'intérêt de la justice sociale ."
Le 11 avril 2014, le troisième circuit a émis un avis annulant la condamnation d'Auernheimer, au motif que le lieu du New Jersey était inapproprié. Les juges n'ont pas abordé la question de fond sur la légalité de l'accès au site. Il est sorti de prison le 11 avril.
Autres réalisations
En mai 2011, une vulnérabilité DoS affectant plusieurs distributions Linux a été révélée par Goatse Security, après que le groupe a découvert qu'une longue URL Advanced Packaging Tool provoquerait le plantage de compiz .
En septembre 2012, Goatse Security a été crédité par Microsoft pour avoir aidé à sécuriser ses services en ligne.