Attentats : les script kiddies sont bien des script kiddies...
Les Dispatchers, ces nouveaux héros numériques qui ont promis de se venger sur le Net des attentats du 11 septembre, ont commencé leur œuvre.
Le site du ministère de l’Intérieur iranien a été piraté. En page d’accueil, on trouve une signature, celle des Dispatchers. Ce groupe censé regrouper une centaine de hackers s’est donné pour mission de couper du monde des réseaux de communication les pays soutenant le terrorisme. Transfert avait évoqué le côté totalement vain et immature de ce genre de démarche. Nous avancions qu’il devait surtout s’agir d’un groupe de gamins utilisant des failles triviales sur les serveurs Web, loin, donc, des véritables réseaux de communication de ces pays. Le ministère de l’Intérieur iranien a un site qui tourne sous IIS 4.0, le serveur web développé par Microsoft. Comme quoi, Internet réconcilie le gouvernement iranien et les entreprises américaines... Mais revenons au serveur. Il présente un bug très connu (dit Unicode) [pour être très précis, cette variante là : /msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe ?/c+...] qui permet de le pirater en 2 secondes. Comme évoqué dans le forum de discussion de Transfert lundi 17 septembre, il suffit d’un simple script et d’appuyer sur la touche "enter" pour changer la page d’accueil. On est loin des super-pirates pouvant couper les réseaux de communication d’un pays. Dispatchers est bien un groupe de script kiddies qui exploitent des failles triviales.
Erreur dans les frappes cyber-chirurgicales
Dans un article publié dans Newsbytes et consacré à ces nouveaux cyber-héros, Brian McWilliams note leur côté Pieds nickelés. En effet, les Dispatchers ont piraté deux sites appartenant à une compagnie d’assurance de Chicago. Quel rapport avec les terribles événements du 11 septembre ? Le nom des sites web sans doute (Terrorism.uk.com et Terrorismteam.uk.com). Selon l’assureur, qui avait des bureaux dans le World Trade Center, 1 350 de ses employés travaillaient dans la seconde tour et 200 sont toujours disparus. Une vraie belle et bonne cible en quelque sorte... Bien entendu, les deux sites tournent sous IIS (5.0 cette fois). Encore des failles compliquées à exploiter...