1. זה כבר קצת נהיה סוג של הובי. 2. כניסה לקישורים על אחריותכם.

אתמול בערב פורסם (פרסום ראשון על ידי צינור לילה), כי האקרים ערבים פרסמו פרטים של חשבונות וכרטיסי אשראי של ישראלים באתר לזכר עימאד מורניה (rememberemad.com). ההבדל הפעם בין פרסומים קודמים דומים של האקרים הפועלים נגד מטרות ישראליות ואזרחים ישראלים, שכאן פורסמו פרטים מלאים (ת.ז., שמות, מיילים, סיסמאות, כרטיסי אשראי) שנראים שהם חלק מקובץ מידע גדול יותר.

להבדיל ממקרים קודמים, ההאקר הנוכחי, פשוט עושה רושם של בחור עם חוש הומור עוקצני ביותר. כדוגמא לפרטים שבידו, הוא מעלה תצלום של תעודת זהות של אזרח ישראלי. במקרה זה מדובר לא סתם במישהו אקראי, אלא האדמין של WebGate (חברת ההוסטינג ששרתיה נפרצו), ולדברי ההאקר "עדיף היה אם הבחור הישראלי היה דואג לאבטחת המידע של לקוחותיו מאשר לגלוש באתרי פורנו ולהפעיל בעצמו כמה כאלו".

RememberEmad

דבר נוסף מעניין, הטקסט בעברית באתר rememeberemad נראה שלא תורגם באמצעות Google translate ועושה רושם כאילו נכתב על ידי דוקטור לעברית באוניברסיטה בטהרן, מה שמעלה קצת תהיות לגבי סוג ההאקר (ילד מתלהב או גוף טיפה יותר רציני? אני עדיין מהמר על ילדים, מעדיף לא לחשוב על אפשרות אחרת…)

האייומים האיראנים

אנסה להרחיב קצת את ההשערות לגבי מה בעצם הם מאיימים שעשו ולשם כך, אביא דברים בשם אומרם, כלומר על מה מצהירים אותם האקרים.

לגבי היקף הפריצות, מדובר במספר עצום של אתרים, את הרשימה שממשיכה להתעדכן גם בוקר, אפשר לראות ב-H-zone של ההאקר: http://zone-h.org/archive/notifier=twitter.com%252Frememberemad. אני לא בטוח, אבל נראה לי שכמות גדולה של אתרים של ybay נפרצו בסביבות מרץ (לא זוכר ששמענו על זה) – אם אני טועה אשמח לתקן את עצמי.

פריצות לשרתים של אתרי הממשלה ואוניברסיטת בן גוריון

חלק מהטקסט שנעלם מהאתר

האתר rememberemad עודכן לאחרונה (כנראה לטובת חשיפת הפריצה הזאת), אולם עד לא מזמן הציג את הכוונות והצהרות של אותם האקרים. הטקסט שמופיע כיום דף הבית הוא חלק ממה שהופיע שם עד לא מזמן. החלק שהוסר, הוא כמובן החלק המעניין:

below is the list of all the Israeli government websites and networks and partially how they operate . in the past months we have gained access to a lot of these computers specially in subnet 147.237.72.* which hosts almost every sensitive Israeli online systems in one integrated network using one single home-made CMS

לפי איומיהם, הם עובדים, או כבר הצליחו לפרוץ ל subnet 147.237.72 רשת שרתי אתרי הממשלה (אתרי gov.il ועוד). ההאקר קורץ ואומר שכל האתרים יושבים על אותה מערכת Home-made CMS מה שכנראה מקל על העבודה. אפשר לראות את רשימת האתרים שיושבים בכתובת זו: http://www.robtex.com/cnet/147.237.72.html.

רשימה חלקית של אתרי הממשלה

רק איום? לא בטוח. כרגע אני נכנס ל-http://sers.gov.il/ (התחלה לחקר הסחף) ורואה שהוא נפרץ על ידם (פורסם על ידם הבוקר).

בהמשך ההאקרים כותבים על פריצה לשרתי המייל של אוניברסיטת בן גוריון. לדבריהם הם הורידו מידע רב, התכתבויות, תמונות של בעלי תפקידים שמות ופרטים הקשורים למחלקות העוסקות במחקר גרעין.

אפשר לראות את הטקסט המלא שהופיע באתר (לפני שעודכן) ב- http://pastebin.com/EnQkgBBN . (משום מה ההאקר השתמש באתר זה שנועד לשיתוף טקסטים, אולי כדי לשתף מישהו בניסוח הטקסט).
ניתן לראות שהטקסט הוא לפחות בן כמעט חצי שנה (הודבק שם בחודש מרץ). מעניין אם יש לנו מישהו שהתפקיד שלו זה למצוא את זה בזמן ולטפל בזה בזמן…

אני חוזר לשאלה, האם מדובר בסתם האקר, ושוב אני מניח שכן – אך עדיין יש שם קריצה לאתר דבקה ולא הייתי מצפה מהאקר-ילד-איראני-מתלהב, לדעת מה זה דבקה:
"maybe debka wants to speculate we are a team of Chinese wizards or RBN "

פרטים על ההאקר/ים

תמונת הפרופיל של ההאקר

החלק הבא מבוסס על השערות שלי וניסיון שלי לחשוף פרטים – יתכן ואני מפספס (אני לא קורא פרסית וזה קצת מפריע). אני קורא לו האקר, אבל יתכן והוא כמה אנשים.
להערכתי מדובר בהאקר איראני שהכינוי שלו הוא M.R.S.CO.
הרמז הראשון היה קישור לאתר rememberemad שהופיע בעבר בחתימה שלובפורום האקרים איראני. אמנם החתימה עודכנה עם הזמן, אבל פעם זה היה שם.
אם אכן מדובר במשתמש M.R.CO בפורום http://ashiyane.org אז לפי כרטיס המשתמש שלו (http://ashiyane.org/forums/member.php?s=a62f5a1a6f71718a919e00485b3bec24&u=1059270) הוא מאד פעיל וכתב יותר מאלף הודעות בשנתיים האחרונות. הוא גם מקצועי.

פרופיל המשתמש בפורום ההאקרים האירנים

הפרטים בפורום מובילים לשני אתרים: http://sh3ller.org (שכנראה עוסק באבטחת מידע, הצד השני של המטבע) ואל http://idc-team.net אתר קבוצת האקרים אירנים.
כמו כן, נראה שאחד מהמיילים שלו הוא Bl4Ck.h4T@att.net.

sh3ller.org

מכל אלו אפשר להגיע לבלוג/אתר של ההאקרים http://mrsco.mihanblog.com.

בלוג

הבלוג מאד מסקרן, נראה שההאקר פורץ גם לאתרים בערבית (למשל לאתרים שיעים או לאתרים שמציגים תמונות לא צנועות של בחורות ואפילו לאתרי דת שלתפיסתו הדתית מציגים דברי כפירה).
הפוסט בבלוג שסוגר את המעגל וקושר את הקצוות הוא http://mrsco.mihanblog.com/post/39 שבעצם מקשר ל- H-Zone של ההאקר שפרץ ל-WebGate.

זהו לעכשיו

we love you – please don't hack my blog.

קרא פוסטים נוספים בנושא זה:

• שיחה ההאקר Emad
• בשולי אירוע ההאקרים הטורקים: למה דווקא פיצה האט
• הם לא גיבורים
• אני חושב שיש לנו בעיה רצינית
• עוד אחד נפל חלל – פריצה לחשבונות ב-One