hoaxer

W Krasnojarsku w Rosji rozpoczął się proces 30-letniego hakera, który włamywał się do cudzych komputerów i za ich pośrednictwem, na koszt właścicieli, korzystał z Internetu.

Inżynier Aleksandr Chochłow za pomocą specjalnego programu potrafił ustalić hasła innych właścicieli komputerów osobistych. Pozwoliło mu to na bezpłatne korzystanie z Internetu. Za usługę tę płacili bowiem ci, których hasła rozszyfrował.

Chochłowowi, któremu zarzuca się co najmniej 30 przypadków włamania do cudzych komputerów, grozi od 2 do 7 lat więzienia.

W tym roku w Rosji wszczęto 17 postępowań karnych związanych z bezprawnym uzyskiwaniem informacji zapisanych w komputerach. Rozwój komputerowego piractwa wymusił na organach ochrony prawa stworzenie wyspecjalizowanej służby, która zajmuje się wykrywaniem tego rodzaju przestępstw.

Według pracowników tej służby, przestępstw komputerowych dokonują przede wszystkim uczniowie i studenci, którzy wcześniej przestudiowali „Instrukcję dla początkującego hakera”, którą każdy chętny może znaleźć w Internecie.

Źródło: PAP

Jeden z największych producentów oprogramowania antywirusowego – Symantec – kupił za 75 milionów dolarów znaną wszystkim listę mailingową – BugTraq. To właśnie na BugTraq pojawiają się informacje dotyczące luk w systemach czy błędów w oprogramowaniu.

Z tego też powodu subskrybentami listy są przeważnie specjaliści od bezpieczeństwa sieciowego, administratorzy i hakerzy. Z reguły to właśnie ci ostatni dzielą się z resztą swoimi doświadczeniami. Mamy nadzieję, że to przejęcie wyjdzie tylko BugTraq’owi na dobre. Więcej na ten temat można znaleźć na securityfocus.com

Podziękowania dla StempeL’a za podesłanie informacji.

Pojawienie się wersji 4.2.2 właśnie dziś było bezpośrednio związane z odkrytym błędem w poprzednich wersjach PHP 4.2.0 oraz 4.2.1. Odpowiednio przygotowany exploit może skutecznie zakłócić pracę serwera webowego. Więcej na ten temat można przeczytać na php.net oraz security.e-matters.de. Zaleca się jak najszybszy upgrade do wersji 4.2.2.

Na oficjalnej stronie PHP pojawiła się informacja o pojawieniu się kolejnej wersji PHP noszącej numerek 4.2.2. Standardowo nowa wersja zawiera poprawki błędów występujących w poprzednich wersjach – szczegółowe informacje dotyczące wykrytych usterek znajdują się tutaj, natomiast źródła dostępne są tutaj.

Interoute, brytyjski operator telekomunikacyjny, poinformował w poniedziałek o przejęciu głównej części europejskiej sieci Ebone należącej do zbankrutowanego holenderskiego koncernu KPNQwest.

Wedle źródeł zbliżonych do firmy o resztę majątku KPNQwest konkurują teraz szwedzka Telia i holenderski KPN. Interoute nie ujawnił ile zapłacił za główną część Ebone, ale zdaniem osób zbliżonych do transakcji było to 15 mln euro, czyli zaledwie 2 proc. tego ile przed rokiem zapłacił za Ebone KPNQwest.

Zobacz również:
Europa bez backbone’a

Amerykański Kongres przyjął poprawkę do kodeksu karnego zaostrzającą wymiar kary dla cyberprzestępców, gdzie za przyjęciem nowego prawa głosowało 385 kongresmenów, przeciw zaś jedynie 46. Od tej pory, sądy będą mogły orzekać kary nawet dożywotniego więzienia za szczególnie ciężkie przestępstwa dokonywane poprzez Internet. Nowe regulacje muszą teraz zostać przyjęte przez Senat.

Zmiany w kodeksie są reakcją na ostrzeżenia o przygotowaniach grup islamskich do ataku na Stany Zjednoczone poprzez globalną sieć. Amerykanie obawiają się, że organizacja Al Kaida zamierza dokonać ataków terrorystycznych – tym razem przez Internet. Eksperci od bezpieczeństwa narodowego wyrażają przekonanie, że atak terrorystyczny dokonany przez sieć może wywołać katastrofę lub sparaliżować życie w kraju. Przytacza się przykład wielkich elektrowni wodnych, których wyłączenie mogłoby spowodować brak energii elektrycznej na dużych połaciach kraju, a co za tym idzie wielkie straty materialne, a także zagrożenie życia obywateli.

Wydaje się, że wydarzenia 11 września ubiegłego roku, spowodowały zwrócenie uwagi nie tylko na zagrożenia fizycznym atakiem, ale także na drogę elektroniczną. A ta ostatnia może powodować znacznie większe straty niż atak z ziemii czy powietrza. Przykładem może być włamanie na serwer NASA, które spowodowało milionowe straty dla tej organizacji. Zmiany w amerykańskim, jakże liberalnym prawie, powinny być sygnałem dla rządów innych państw, aby przejrzały swoje regulacje prawne pod kątem właśnie obrony przed atakiem cybernetycznym.

W nawiązaniu do artykułu, dot. dziury w systemie kont pocztowych Onet.pl, który ukazał się wczoraj na łamach magazynu Reporter.pl chciałbym wyjaśnić klika kwestii. Przede wszystkim wyjaśnienia Pawła Respondka, z działu PR w Onet.pl są niezwykle analogiczne do sprostowania wydanego jakiś czas temu przez Interię po tym jak okazało się, że można logować się na dowolne konto pocztowe nie podając hasła. Zgodnie twierdzili, że nie zostali wcześniej poinformowani o dziurach w systemie darmowych kont pocztowych co raczej mija się z prawdą. W przypadku Interii została nawet zachowana cała korespondencja, w której firma została powiadomiona o problemie jeszcze przed jego opublikowaniem na naszych stronach.

W obu przypadkach pracownicy Onetu i Interii zareagowali dopiero po zamieszczeniu sposobów na dostanie się na cudze konta pocztowe. Chwalenie się czasem reakcji jest w tym przypadku śmieszne bo informacja o problemie trafiła do wielu osób i kto chciał mógł ją skutecznie wykorzystać. Dla przypomnienia w Onet.pl błąd został usunięty po 30 minutach od pojawienia się artykułu na hacking.pl natomiast Interii zajęło to trochę dłużej bo 3 godziny.

Dalej czytamy:

Wczorajsza krótka awaria była ledwie widoczną szczeliną, a nie dziurą

Z pewnością określenie szczelina uspokoi wszystkich posiadaczy kont na Onet.pl. Albo oprogramowanie jest wadliwe albo nie…

Można było dotrzeć do mniej niż 1 proc. użytkowników poczty, z tym że, aby trafić na dwa listy tego samego użytkownika, należało wykonać 500 tys. prób

Sprawdziliśmy to i nieprawdą jest, że trzeba było wykonywać tyle prób, gdyż e-maile były kolejkowane następnym numerem a nie przypisywane losowo. A kolejno widzimy ponowną analogię z Interią. Błąd nie dotyczyły wszystkich użytkowników lecz tylko znikomej ich części. Jakie to szczęście…

Nikt z Hacking.pl nie pofatygował się, żeby poinformować portal o odkrytej usterce.

Jasne… Najlepiej dać nam dostęp do serwerów i będziemy zdalnie naprawiać wszystkie bugi. Nie jesteśmy firmą wykonującą audyty bezpieczeństwa tylko serwisem informacyjnym. Poza tym, jak już pisałem, firma została poinformowana o błędzie jeszcze przed jego publikacją.

Admini Onet.pl bardzo rzetelnie w trosce o internautów sprawdzają sajty hakerskie.

Mam propozycję: zamiast „skanować” m.in. naszą stronę proponuję bardziej skupić się na swojej pracy i nie dopuszczać do podobnych sytuacji. Wszyscy byliby zadowoleni.

Niestety, autorzy tych sajtów nie zachowują się równie rzetelnie.

A co z rzetelnością w stosunku do kilkudziesięciu tysięcy waszych użytkowników ???

Nieinformowanie zainteresowanych stron jest zwykłym hakerstwem.

Jasne, w końcu to hacking.pl. 😉

Na koniec chciałbym oświadczyć, iż jest nam niezmiernie miło, że administratorzy Onet.pl odwiedzają nasz serwis co kilkanaście minut. To właśnie dla Was to robimy ! 🙂

Kolejny, dziewiąty numer WinSecurity Magazine pojawi się już wkrótce w sprzedaży. Tematem przewodnim lipcowego numeru jest administracja i zabezpieczanie serwera Exchange 5.5/2000. Opisano w nim między innymi tak istotne tematy jak odtwarzanie po awarii, umiejscowienie serwera w sieci, migracja z wersji 5.5 do wersji 2000, journalling, wpisy w dzienniku zdarzeń SMTP, czy wykorzystanie skryptów w zarządzaniu AD i serwerem Exchange. Wykraczając poza temat przewodni, w numerze tym zamieszczono również artykuły dotyczące protokołu LDAP, skryptów ADSI, sposobów łamania zabezpieczeń Windows 2000 (cz. III), nowego robaka dla serwera Apache oraz oprogramowania LanGuard S.E.L.M., AdWare, GroupWare i SecureIQ.

Na dołączonej płycie CD znajduje się serwer Microsoft Exchange 2000 w wersji testowej. Fragmenty wszystkich artykułów w formacie PDF i szczegółowy spis treści dostępny jest w przeglądzie.

Tak! To prawda – najpierw Interia.pl teraz przyszedł czas na Onet.pl. Dzięki bardzo prostemu przypadkowi, niedopatrzeniu czy też przeoczeniu, OnetPoczta umożliwia przeglądanie prywatnych wiadomości innych użytkowników bez potrzeby znajomości ich hasła dostepowego do konta pocztowego.

Na początek trochę „teorii”. Zgodnie z zapisem występującym w dostarczonej pomocy (aby przeczytać pomoc, należy być zalogowanym na konto w OnetPoczta) obsługi konta pocztowego „OnetPoczta jest wygodną, łatwo konfigurowalną aplikacją internetową, która umożliwia jednoczesny dostęp do wielu kont pocztowych”. Autorzy w zupełności mieli tutaj rację!

Sprawa przedstawia się bardzo prosto: wystarczy zalogować się na własne (bądź czyjeś) konto w portalu Onet.pl, gdzie naszym następnym krokiem będzie wpisanie poniższego adresu url bezpośrednio w przeglądarce:

http://poczta.onet.pl/czytaj.html?p=1&ui=XXXXXXX&k=0&f=0

gdzie XXXXXXX to kolejne numery identyfikacyjny zapisanej wiadomości przechowywanej na serwerze.

Jak uzyskać taki numer? Nic prostszego! Jeżeli mamy zapisaną wiadomość w naszej skrzynce pocztowej, po „najechaniu” na nią, w statusie, uwidoczni się pełny link wraz z odpowiednim numerem tej wiadomośći. Taki numer kopiujemy i zgodnie z powyższym przykładem, modyfikujemy go o jeden bądź kilka numerów wyżej. To był pierwszy sposób. Drugi, nieco bardziej „brutalny”, polega na losowym wpisaniu jakiś cyferek. Uwierzcie mi! Zabawy jest na kilka, długich i deszczowych dni.

Dla przykładu, po własnej, krótkiej zabawie, znalazłem nastepujące trafne przypadkowo numery:

http://poczta.onet.pl/czytaj.html?p=1&ui=3548929&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548971&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548976&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548989&k=0&f=0
http://poczta.onet.pl/czytaj.html?p=1&ui=3548996&k=0&f=0

Dość ciekawym pomysłem będzie napisanie skryptu, którego zadaniem będzie generowanie kolejnego numeru wiadomości. Dodatkowo warto dopisać stosowny filtr który będzie zajmował się poszukiwaniem odpowiednich wpisów w celu zdobycia np. hasła lub bardziej interesujących nas informacji.

No dobrze. A jak zabezpieczyć się przed takim „nieoficjalnym” czytaniem poczty? Jedyne co przychodzi mi na myśl to, zaraz po przeczytaniu wiadomości, jej natychmiastowe skasowanie, bądź forwardowanie na inne, bardziej bezpieczniejsze konto pocztowe. Z koleji innym sposobem może być całkowite, bądź tymczasowe, zrezygnowanie z użytkowania konta w OnetPoczta.

Jak widać Polskie (czy tylko Polskie?) portale świadczące darmowy dostęp do kont pocztowych stoją pod znakiem zapytania ufności ich przyszłych klientów. Zapewne większość z Was pamięta głośny problem związany z bezpieczeństwem kont pocztowych dostępnych na serwisie Interia.pl. Teraz czarna chmura zapukała do drzwi portalu Onet.pl. A co z pocztą w serwisie wp.pl? Zapewne lada dzień, będzie o niej głośno.

Z góry przepraszam za czytanie i publiczny pokaz prywatnej poczty ale użyte odnośniki mają tylko na celu udowodnić i zademonstrować słabe zabezpieczenia poczty portalu Onet.pl.

update: Jak poinformował mnie Pan Andrzej Zachwieja z Onet.pl, błąd został naprawiony po kilkudziesięciu minutach od publikacji. Rzeczywiście błąd został już poprawiony – jedyne co nasuwa mi się na myśl, to pogratulować szybkiej reakcji ze strony Onet.pl.

Zobacz również:

Onet i Interia w jednym stali domu…