スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

14歳のクラッカー、RIAAを名乗りWhat.cdユーザを脅す?

OiNKの代わりとなるトラッカーとして名乗りを上げたWhat.cd、現在そのメンバーに対して、RIAAを名乗る相手から、違法な活動を続けるのであれば、訴訟を起すぞというメールが届いているよ、というお話。結果から言えば、おそらくは、What.cdに対して逆恨みを抱く14歳の子供が行ったもののようで、実際にRIAAは関与していない模様。ただ、当事者と思われる人物は、自らがクラッキングに関わったことを否定しているようだ。この件に関しては、当該の人物に対する批判が高まっているのだけれども、詳細が完全に明らかにされていない状況で、あまり詮索して個人攻撃に走りすぎるのも考え物だけれどもね。日本でもこの手の警告メールが届いた人っているのかな?

原典:TorrentFrak
原題:14 Year Old BitTorrent Hacker Threatens to Sue What.cd Users
著者:enigmax
日付:November 12, 2007
URL:http://torrentfreak.com/14-year-old-hacker-threatens-whatcd
-071112/

OiNKの代理となるWhat.cdユーザは、RIAAと見られる相手から、電子メールを受け取っている。そこでは、ユーザが『海賊行為という犯罪行為』をやめなければ、彼らに対する告訴を行うと脅迫するものであった。しかし、それは本当にRIAAからのものなのだろうか?それともライバルのWaffles.fm?いや、それは復讐に燃える14歳のスクリプトキッズだとWhat.cdはいう。

簡単に概要を。

現在、What.cdのメンバー達に、RIAAを名乗る電子メールが送られ、What.cdは海賊行為のためだけのサイトであり、そのような刑事犯罪を続けるようなら、訴えるよ、という内容であった。とりあえず、こんな感じらしい。

Date: 12 Nov 2007 11:35:46 +0100
Message-ID: <2007111XXXXXXX.XXXXX.qmail@bitient.org>
To: XXXXXXX
Subject: Music Piracy
From: piracy@riaa.org
Reply-To: piracy@riaa.org
X-Originating-IP: [76.74.24.143]
X-Originating-Email: [piracy@riaa.org]
X-Mailer: Internet Mail Service

Dear registered user of the site What.cd,

We have recently been investigating the activities of the users of the site http://www.what.cd/ and we have found that this site exists for the sole purpose of music piracy.

Pirating music is a criminal offence and we believe it should be obvious to you that the results outweigh the benefits - hard working artists won't be rewarded for their work and will stop producing music, ultimately leading to a severely reduced selection of music both in the shops and for download.

The RIAA had hoped that the disabling by the police of the large illegal music site, Oink.cd, would stop a lot of people from engaging in piracy, as they don't want to be seen as criminals. However, this appears to not be the case, as two large new sites have sprung up in its place.

This email is the final warning to all of you who were members of Oink.cd and are current members of What.cd. If we find you to be committing any more criminal acts of piracy then we will have to press charges against you, as representatives of the major record companies of
America.

Yours Faithfully,

The RIAA

特にこの電子メールのIPアドレスが実際にRIAAからのものであることを示していたため、ユーザたちは特に心配することになった。

一方で、What.cdはサイトに彼が攻撃にさらされていたというメッセージをサイトに掲載している。しばらくの間彼らは、ポートスキャンとDDoS攻撃にさらされており、そのトラフィックは80Mbit/sに達したこともあるのだという。その間、サイトは不安定になり、ダウンすることもあったが、それに関しては現在は解決した模様。ただ、その後も執拗にクラックをしようとする個人or団体がいたようだ。What.cdは当初は、暇な子供がやらかしてるんだろうと考えたが、その本格的な構成に対して、単に暇つぶしなどではなく、本気でサイトを潰しに来ていると考えるようになったようだ。

ただ、そうなると電子メールは本当にRIAAだったのか?という疑問が生じてくる。そうじゃなければ誰がこのメールを送ったのか、どうやってメンバーの情報を手に入れたのか。

その辺の事情が、とあるところで明らかにされているのだけれども、幾分パーソナルな情報を含んでいるのでリンクは張らない。で、What.cdが当初パブリックベータを開始した際に一時的に利用したbitient.orgというサーバ(what.cdの管理人Noahが運営している)を利用していた別のユーザ「P3T3R」とその兄弟の「biscuit」が、今回の件に絡んでいると見られている。おそらくは、同一サーバにてWhat.cdを運営されたことが気に食わなかったのだろう。

いかにしてデータベースが盗まれたのか、どのようにしてWhat.cdがこのユーザを特定したのか、についての詳細は以下の通り。***部分は伏せました。

Things were pretty normal for the next few days, but then we started seeing disturbing things appear in our database. Most of you guys know what these disturbing things were - redirects to shock sites, fake RIAA notices, etc. We initially thought that this was because of SQS injections - after all, TBSource comes with a load of exploits by default. So we went through the site, and patched up all the injection points (there were a lot of them). When we put the site back up, we immediately got hit by another attack. So we took it down again, and found and patched a couple more exploits. Then we put the site back up, and got hit by another attack.

After checking our database logs, it became painfully clear what had happened. The site and the database are hosted on separate servers. The attacker was connecting to the database server from the web server, but it didn't look at all like an SQL injection - none of our ordinary database calls accompanied the malicious queries. So, we decided that the attackers must have access to the web server, and since it was time to move from that temporary server anyways, we packed our bags and left.

This is when the SQL attacks stopped.

As we've already stated, the attackers then turned to brute force. The DDoS attack was well done, which made us think that the attackers were more than bored kids - but then, they sent out a shitload of fake RIAA emails, which looked like the work of a 14 year old. It was these emails that allowed us to track down the attackers.

The emails were well spoofed - the "originating IP" belonged to Dutch offices owned by the RIAA. However, they made a serious fuckup - a load of them were sent from riaa@bitient.org. This is not the case of a hacked mail script, as we never had a mail script - this was the case of someone trying poorly to hide their identity. A couple hours after these emails were sent out, every user in what.cd received a CTCP-Version request from a user called 'biscuit'.

This is where it gets cool.

Sending version requests to everyone in a channel is the sort of thing script kiddies looking for someone to hack would do. As a good sysadmin, I tracked down biscuit's IP address:

[22:17] [Whois] biscuit is biscuit@*.*.*.*.*.*.*.*.*.*.*.*.*.NET (Biscuit)
[22:17] [379] biscuit is using modes +wrxt
[22:17] [378] biscuit is connecting from *******************(IP adress)

And searched for it on the site - I came up with this account: http://what.cd/userdetails.php?id=1106

So, p3t3r and biscuit are on the same IP address. They both hate us, and p3t3r has openly threatened to take our site down. P3T3R has an account on the site, that logs into frequently, but never uses to upload or download. They both have shell access to our original server, so they could get into the database. Biscuit, the "1227 hax0r", sends a version request to everyone on IRC, a couple hours after scam emails have been sent out from a server they have access to. A little more research shows that P3T3R is 14 years old, and biscuit is his brother. It all sounds pretty conclusive to me. I go on to the bitient.org IRC channel to see what I can find. What do I find?

[22:37] (Noah) BISCUIT!
[22:37] (Noah) You'd better not have been the one sending those fake RIAA emails!
[22:37] (P3T3R)
[22:37] (Noah) And you most certainly have better not have been the one behind the hack
[22:37] (Noah) the emails CAME FOMR MY IP!
[22:37] (P3T3R) hack?
[22:37] (Noah) FROM THIS FUCKING SERVER

This pretty much convinced me that these two (especially P3T3R) were the ones behind the attacks. So, I'm sure you're all curious as to who these people are.

誰が今回の件に背景にいたのかが明らかにされたことで、その人物についての詮索がなされているようだ。その結果、どうやらこのクラッキングと偽のRIAAメールの送付を行っていたのは、ほんの14歳の子供(とその兄弟)であったようだ。ただ、このような詮索(と過度の個人情報の詮索)に対しては、意見の分かれるところで、いたるところでこの子供の氏名や住所、電話番号、メールアドレスが書き込まれている。また、それに対する批判もある。さすがに、行きすぎはちょっとね。

なお、彼らが手に入れた情報を誰かに売りつける、とくにRIAAなどの渡すなどのことを懸念している人たちがいるだろうが、その点に関しては、そのbiscuitのチャットログで明らかにされている。この情報を誰か買ってくれないかなぁなどと楽しいことを言ってくれているが、実際には渡すつもりはないようだ。ただ、TorrentFreakのアップデートによると、buscuit自身は、クラッキングへの関与を否定しており、ログは改ざんされたものだと主張しているという。

まぁ、こういう状況を認めるわけじゃないけど、現実として、他人に悪意を向けると自分に返ってくるということは、考えておかないといけないね。後は、不確定な情報を元に、他者を攻撃することがどういう結果をもたらすかってこともちゃんと考えなきゃね。

Trackback

Trackback URL
http://peer2peer.blog79.fc2.com/tb.php/852-dc3bf1a6

Comment

Comment Form
公開設定

プロフィール
heatwave Author
:heatwave

RSS Jamendo twitter tumblr Creative Commons Attribution 2.1 Japan
ブログ内検索
記事リスト
最新の記事
全記事一覧
他所で書いてるブログ

P2Pとかその辺のお話@はてな

アーカイブ

カテゴリー
最近のコメント
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。