Vilma
-7 °C
4 °C

Ki tett trójait a Matávkillerbe?

2001.02.23. 14:25
Egyre vadabb találgatások látnak napvilágot a Matávkiller program írójának kilétét és szándékát illetően. Mint már tegnap írtuk, az Extra.hu/matavkiller oldalon található program indítás esetén Back Orifice-t telepít a felhasználó gépére. Ez az állítás azonban csak a február 18-i keletkezésű Matávkillerekre igaz: a program február 8-án létrehozott, korábbi verziója nem vírusos, bár tárcsázásra sem képes.
Úgy tűnik, a Matáv elleni illegális/elmaradt tüntetés után néhány nappal valaki kicserélte a 350 kilobyte méretű, működésképtelen támadóprogramot egy 514 kilobyte-os trójaival, amely látszólag nem csinál semmit, titokban azonban a Back Orifice-t telepíti a gépre. Feltehetőleg a program írója, illetve a Matavkiller oldal létrehozója írta fölül az eredeti, amúgy működésképtelen támadóprogramot a vírusos fájllal, de lehetséges az is, hogy valaki feltörte az oldalát, és ő helyezte el rajta a vírust. A Törzsasztalban rögtön megindultak a találgatások a fájlcserélő kilétét illetően (az elméleteket lásd nagy keretes anyagunkban).

Feltörték az oldalt?

DoS-támadás
A DoS (Denial of Service, szolgáltatás megtagadása) támadás lényege, hogy speciális programokkal egyszerre akár több száz számítógépről bombáznak lekérésekkel egy szervert. A Tribe Flood Network, Trinoo és Stacheldraht (szögesdrót) nevű programokkal egyszerre többszáz számítógépről lehet összehangolt támadást indítani az áldozatul kiszemelt szerver ellen. A hackerek saját számítógépükről adnak utasítást a támadás megindítására azoknak a gépeknek, melyekre előzőleg felinstallálták a programot. A több tucat, vagy akár több száz számítógép így egyszerre bombázza a célpontot kéréseivel.
Február 22-én, a telefonos DoS-támadás meghirdetett napján írtunk arról, hogy a támadóprogram vírusos. Néhány órával később eltűnt a Matávkiller oldalról a vírusos program: először az Extrán lévő oldal tartalma változott meg, hamarosan pedig a Táron és a Geocities-en lévő tükrözés is követte az Extrát. Az oldalon levő szöveg szerint ,,Ez az oldal fel lett törve. Nem vagyok MATÁV-rajongó, de azért nem kellene ilyen oldalakat létrehozni... Hát most így jártál..."

Az a tény, hogy mindhárom szolgáltatónál lévő oldal tartalma megváltozott, valószínűtlenné teszi a feltörés lehetőségét, hiszen más-más rendszerről van szó. Sokkal valószínűbb, hogy maga az oldal tulajdonosa írta át az oldalakat, egyfajta ,,önbetörést" hajtott végre. Az is elképzelhető azonban, hogy az oldalak létrehozója mindhárom helyen azonos jelszót használt, és ezt megszerezve tudták módosítani a hackerek az oldalakat. Szerettük volna Matávkiller verzióját is meghallgatni, ő azonban nem válaszolt megkeresésünkre.

A Wirhock Team vállalta a törést

A feltörést magára vállaló Wirhock Team Indexhez eljuttatott közleménye szerint nem értenek egyet az interneten való kalózkodással, azért kényszerültek erre a módszerre, mert ,,visszataszítónak és undorítónak tartjuk, hogy más emberek unszimpátiáját, tapasztalatlanságát trójai programokkal, vagy más módszerekkel kihasználva gyanútlan felhasználók adataihoz férjen hozzá bárki.Szánalmasnak tartjuk, hogy bárhol megtalálható "tömeg" feltörőrutinnal írt programmal fertőzik a hálót, most is és ezentúl is azon leszünk, hogy ezt megakadályozzuk."

Elmaradt a DoS-támadás

Bár a Matáv közleményben figyelmeztette arra az internetezőket, hogy jogellenes a program elindítása, mivel közüzemi szolgáltató működését zavarná az összehangolt akció, a DoS-támadás a program hibája miatt elmaradt. Nem tudni, hány felhasználó próbálta elindítani az ártalmatlan, ám működésképtelen eredeti verziót, és hánynak a gépére települt tudomása nélkül Back Orifice. Egy víruskereső lefuttatása mindenesetre senkinek sem árt, még akkor sem, ha nem töltötte le a programot. Vírust elvégre más forrásból is szerezhetünk, számos esetben észrevétlenül.

Összeesküvés-elméletek
t3rra: ,,Szerintem sincs hacker. A hack nem ilyen, és főleg nem ilyen helyeken. Vagy MaD_MiND egyezett meg a Matávval, vagy a Matáv kezdeményezte az egész akciót."

MACi: ,,a 2F Kft valóban létezik, és az FProt vírusirtó belföldi disztribútora. Lehet, hogy ők is benne vannak es a vírusirtók eladását is fel akarták lendíteni? Mert tudták, hogy sokan utálják a Matávot es így sok ember lesz vírusos?"

terranova: ,,Lenne nekem is egy összeesküvés-elméletem: adott Matávkiller, Hacker1 (BO), Hacker2 (Matávkiller?, deface). Hacker1 felteszi a vírust, Matávkiller meglátja és menteni akarja a helyzetet. Hacker2 (Matavkiller?) kiírja hogy feltörtek ehh... és ezzel kimenti magát a trójai terjesztés alól, és Hacker1 meg örül a pénznek, amit a Matávtól kapott, mer meghiúsította a támadást."

tüzes fal: ,,Nem hiszem hogy bárki fel tudná törni a Geocities-t, vagy a Tár.hu-t. Csak akkor, ha Matávkiller mindháromnál ugyanazzal a jelszóval nyomult. Annyira nem egyszerű azért a dolog, hogy csak igy feltörögessen valaki egy nap alatt 3 különböző szolgáltatót. Ja, és a Geocities-nél nem elenderesek dolgoznak.
Szerintem az oldalt eredetileg feltörő embernek nem érdeke az, hogy kiderüljön a feltörés. Arra gondolok, hogy Matávkiller oldalára felrakott valaki egy BO-t. Na most neki az lenne az érdeke, hogy ez ne derüljön ki, így lehetetlenné tenné Matávkillert, mivel mindenki megszívja a BO trükköt. De ha eleve elpofázza, hogy feltörte az oldalt, akkor már mindenki azt hiszi, hogy ő rakta fel a BO-t is.
A másik eset, ha maga matavkiller rakta fel a törésről szóló lapot, ezzel azt sugalmazva, hogy nem ő tehet a BO-ról, ami igaz is lehet, de ha nincs feltörésről szóló weboldal, akkor ezt nem tudná bizonygatni."