Zasubskrybuj RSS

Nie klikaj!

Sierpień 20th, 2010 | Komentarze są wyłączone | Kategoria: Uncategorized

Ikona programu pocztowego błyska rysunkiem koperty. Otrzymujesz wiadomość od swojego kuzyna, w której zawarty jest link do portalu wraz z krótkim tekstem, zachęcającym do wejścia. Nie masz chwilowo nic do roboty, więc z nudów klikniesz w odnośnik.

Uruchamia się kolorowa strona internetowa z interesującym artykułem, filmami, zdjęciami, tapetami… setką rzeczy, w poszukiwaniu których czasem przeczesujesz Internet. Strona wygląda jak portal, jakich już wiele. Jeden z tytułów przykuwa Twoją uwagę, klikasz w jego tytuł. Po krótkim wstępie widzisz komunikat zarejestruj się, aby zobaczyć całość. Podobnie jest z filmami i zdjęciami.

Rejestracja zajmuje chwilę. Wybór nazwy użytkownika, hasło, e-mail, kod z obrazka i już możemy rozkoszować się informacjami z nowo poznanego portalu. Nie, jednak nie… jeszcze trzeba kliknąć w link, przysłany z portalu na maila i już wszystko pięknie działa, już można oglądać tapety ze zdjęciami pięknych kobiet i filmiki z uroczymi, nieporadnymi kociętami.

Gdy rejestracja została zakończona, po stronie serwisu uruchomił się ukryty program, specjalnie przygotowany przez twórcę. Kto jest twórcą? Nie powiesz mi chyba, że szukałeś w portalu informacji o nim?

Program bierze Twój adres e-mail oraz hasło, jakim chcesz się logować do serwisu. Specjalnie portal nie wymagał na Tobie skomplikowanego hasła, więc wybrałeś takie, które stosujesz w innych miejscach, prawda? Jeżeli podane hasło pasuje do Twojego maila, zostajesz oznaczony jako łatwy cel, a Twoje dane trafiają do drugiego programu.

Drugi program loguje się na Twoje konto pocztowe i pobiera wszystkie wiadomości. Szuka, czy jesteś zarejestrowany na popularnych serwisach. Przecież do naszej-klasy czy do Facebooka możesz się zalogować na podstawie podania adresu e-mail i hasła. A hasło wszędzie masz to samo? Nie, przecież te serwisy często wymagają bardziej skomplikowanego hasła, na przykład z przynajmniej jedną cyfrą. Ale spokojnie, program sprawdzi, czy może się zalogować na Twojego facebooka przy użyciu różnych kombinacji, na przykład z doczepioną cyfrą 1, lub z przypadkowymi dwiema cyframi. Program ma czas, żeby sprawdzić te kombinacje, nie spieszy mu się.

Treść Twoich maili trafia do trzeciego programu. Ten z kolei ma za zadanie ustalić jak najwięcej Twoich danych – adres, telefon, Skype, GG, numer konta… Takie informacje podaje się w mailach, prawda? Choćby przy zakupach w Internecie. Dodatkowo program ten sprawdza, w jakim banku prowadzisz konto internetowe. Przecież dostajesz wyciągi na e-mail, prawda?

Raport z tych programów trafia do administratora portalu, na którym rejestrowałeś się na samym początku. Wie on już jak się nazywasz, gdzie mieszkasz, gdzie masz konto bankowe, jaki masz numer telefonu, GG, na jakich portalach i forach się udzielasz… Nawet jeśli automatowi nie udało się dostać do któregoś z serwisów, na których masz konto, to nie ma żadnego problemu. Osoba, która przejęła Twoją sieciową tożsamość kliknie opcję zapomniałem hasła, i nowe hasło dostanie na Twój mail. Oczywiście wiadomość o tym natychmiast usunie.

Kiedy nie będziesz mógł się zalogować na Allegro, zapewne też użyjesz opcji zapomniałem hasła i nawet nie zastanowisz się, dlaczego system nie wpuszcza Cię, mimo że podajesz prawidłowe dane. Ustawisz sobie nowe hasło, a administrator portalu, o którym nawet już nie pamiętasz, od razu dowie się, że to zrobiłeś… Będzie przecież dalej przeglądać Twoją pocztę.

W tle działa też czwarty program. Przeszukuje wszystkie Twoje maile i zapisuje sobie adresy osób, z którymi się komunikujesz. Co jakiś czas wyśle informacje o fantastycznym portalu z filmami, tapetami i innymi ciekawymi rzeczami kilku osobom, z którymi kontaktujesz się najczęściej. Oczywiście z Twojego adresu, oczywiście, podpisane Twoim imieniem. Już po chwili Twoja koleżanka z pracy odda wszystko, co ma w sieci, w ręce internetowego krętacza. Tylko dlatego, że popełniła ten sam błąd, co Ty.

Nie wiem, czy takie strony istnieją. Wiem, że jest możliwe stworzenie takiej, a najtrudniejszym elementem byłoby zebranie wystarczającej ilości ciekawych danych, by zachęcić użytkownika do rejestracji. Złośliwe programy to pestka.

Każdy z nas jest zarejestrowany na dziesiątkach for i portali. Nie sposób pamiętać haseł do nich wszystkich. Jednak hasło do konta pocztowego otwiera przed potencjalnym napastnikiem dostęp do praktycznie wszystkich miejsc w sieci, gdzie się pojawiasz. Pomyśl, zastanów się. Ostrzegałem.

Tagi: ,

ToiToi Hacking

Marzec 7th, 2010 | Komentarze są wyłączone | Kategoria: Uncategorized

Czy jeśli udało mi się otworzyć klapę w toi-toiu bez upaprania się podejrzanymi wydzielinami, to jestem już hakerem?

Zakładając,  że „haking” to otwieranie rzeczy, których normalni ludzie nie otwierają, to tak, zdecydowanie tak. Ale dlaczego klapa w toi-toiu?

Lata temu w pewnej książce sci-fi natknąłem się na homeryckie porównanie „zamek ten łatwiej było otworzyć niż klapę w sraczu” (cytuję z pamięci, jeśli ktoś zna źródło to proszę o kontakt). Klapa w sraczu zasadniczo zamków nie ma, toteż nie stanowi praktycznie żadnego wyzwania dla wprawionego użytkownika.

Przenieśmy się teraz bardziej na grunt IT, więc normalni ludzie powinni przestać czytać ten wpis dokładnie w tym miejscu.

Każda aplikacja webowa musi mieć zapisaną konfigurację bazy danych. Musi w niej posiadać adres serwera, login i hasło – przynajmniej tyle. Konfiguracji tej należy strzec jak własnego przyrodzenia, bowiem jak ktoś się do bazy dobierze, to… jeśli nie wiesz, co może zrobić, nie zajmuj się webdeweloperką.

Wyobraźmy sobie zatem, że wystawiamy projekt, w którym config ten jest publicznie dostępny… Nawet lepiej: publicznie dostępny i zaindeksowany w google.

Kilkanaście sekund zajęło mi skonstruowanie zapytania, które wyszukiwało pliku databases.yml przechowującego config bazy danych w symfony. I tak, znalazłem aplikacje już działające, i tak, udało mi się dobić do serwera z zewnątrz. Tak, hasła do baz były skomplikowane. Tylko po co, jeśli dostałem je na talerzu?

Robiąc projekt w Symfony, końcowa wersja nie może udostępniać niczego poza katalogiem web/. Nigdy. Zapamiętać to.

Dlaczego wujek google to zindeksował? Zapewne w fazie produkcyjnej dostępny był listing plików i katalogów. Wujek przyszedł, zapisał, poszedł. Od tego są robots.txt. Zapamiętać to.

Ale załóżmy, że wujek nie zindeksował. Co też wymyślę wtedy? Poszukam jakiegoś charakterystycznego dla symfony URLa. Znajdę, i jeśli będzie się zaczynał od web/, to ktoś ostro dał ciała. I zastąpię „web/index.php” przez „config/databases.yml” i będę się cieszył hasłem do bazy.

W ciągu dwudziestu minut googlania zdobyłem i przetestowałem parametry logowania do dziesięciu różnych polskich witryn.

Wnioski? Zabezpieczenia są systemem, muszą działać jak dobrze naoliwiony mechanizm. Jeżeli jeden z fragmentów układanki zawiedzie, możecie hasło admina wypisać jawnym tekstem na stronie głównej. Albo robicie wszystko dobrze, albo wszystko macie spaprane.

Dziękuję państwu, dobranoc. Koniec imprezy. Nie ma takiego kodzenia.

Tagi: , , ,