Security Day – podsumowanie

18-letni mieszkaniec Wrześni o pseudonimie BIGHARD zwyciężył w Ogólnopolskim Turnieju „Security Day”. 15 czerwca o godz. 15:00 w sali sesyjnej Urzędu Miejskiego nastąpiło rozstrzygnięcie Turnieju i wręczenie nagród.

 
O turnieju w Radiu AFERA: Security Day 2003.mp3 [2.7 MB]

Turniej rozpoczął się 14 czerwca o godz. 9:00. Do godz. 15:00 na wyznaczony serwer włamywało się 626 osób. Najwięcej z Warszawy, Wrocławia i Śląska. Jeden z atakujących usunął wszystkie hasła ze strony informacyjnej Turnieju, ale po 20 minutach organizatorzy uzupełnili je. Na stronę informacyjną Turnieju odnotowano ponad 30 tys. wejść.

Zwycięzca nie złamał zabezpieczeń testowanego serwera, ale dokonał „obejścia”, jakby wrzucając ulotkę przez okno, nie wchodząc do środka. Zmieścił się tym samym w regulaminie, a organizatorzy gratulowali mu pomysłowości.

Prezydent Rudy Śląskiej Andrzej Stania podziękował młodym za inicjatywę Turnieju i poszukiwania coraz lepszych sposobów realizowania demokracji.
Turniej miał na celu m. in. przetestowanie zabezpieczeń serwera internetowego oraz ukazanie zagrożeń związanych z nieprawidłową konfiguracją systemu operacyjnego

Opis przebiegu Turnieju

Turniej rozpoczął się punktualnie o godz. 9.00. Aby dowiedzieć się adres hosta przeznaczonego do ataków należało zalogować się na stronie www.turniej.iolnet.pl używając pseudonimu i hasła podanego podczas Rejestracji. O godz. 910 nastąpiło włamanie na serwer bazy danych obsługujący logowanie uczestników. Zamieniono wszystkim uczestnikom hasła. W wyniku włamania uczestnicy nie mogli zalogować się w celu otrzymania adresu hosta przeznaczonego do ataków. Przed godz. 10 usterka została naprawiona. Od tego czasu aby dowiedzieć się adres hosta przeznaczonego do ataków należało zalogować się na stronie www.turniej.iolnet.pl podając już tylko adres email, podany w czasie Rejestracji.

Od początku Turnieju zauważyliśmy bardzo duże obsciążenie łącza (2 MB) oraz obciążenie pamięci RAM. W związku z dużym obciążeniem pamięci RAM serwer przeznaczony do włamania samoczynnie się resetował. Zauważyliśmy także błędy w obsłudze pamięci RAM. Przed godz. 11 dokonano ponownego włamania na serwer bazy danych. Nadpisano wszystkie adresy email, które były wymagane do logowania uczestnika. Po włamaniu bardziej zabezpieczyliśmy serwer bazy danych. Po godz. 11 usunęliśmy z serwera jedną kość pamięci RAM (256 MB), od tego czasu samoczynne restarty zmniejszyły się do 2-3 na godzinę. Około godz. 12 zmniejszyła się liczba żądań dostępu do serwera. W dalszym ciągu nie było żadnej informacji o udanym włamaniu na serwer. Liczne samoczynne restarty serwera, na początku Turnieju, najprawdopodobniej spowodowane niedopasowaniem kości RAM (256 MB DDRAM i 512 MB DDRAM). Około godz. 13 zadzwonił do nas jeden z uczestników i poinformował iż umieścił dane (wymagane w regulaminie) na serwerze. Przeanalizowaliśmy katalogi serwera WWW, jednakże nie stwierdziliśmy podmiany strony internetowej ani zmian w katalogach serwera WWW. Pomiędzy godz. 14 a 15 wzrosło obciążenie łącza, klilkakrotnie serwer zresetował się. O godz. 1500 wyłączyliśmy serwer. W celu weryfikacji informacji o włamaniu ponownie przeanalizowaliśmy katalogi serwera WWW. Dodatkowo sprawdziliśmy wszystkie logi zapisywane na serwerze i routerze. W pliku błędów serwera WWW „error_log” znaleźliśmy następujący wpis:

[Sat Jun 14 12:21:41 2003] [error] [client X.X.X.X*]
Filename is not valid: sys:/apache/aaa/bighard
ea30428a and shepherds we shall be, for thee my lord for thee.

Gdzie wpis: „bighard” to pseudonim uczestnika, „ea30428a” to hasło i „and shepherds we shall be, for thee my lord for thee.” to tekst rejestracyjny.
* – adres nie zostanie podany do wiadomości publicznej.

Podczas Turnieju nie dokonano udanego włamania na serwer WWW, rozumianego jako podmiana głównej strony internetowej testowanego serwera. Nie dokonano także jakiejkolwiek modyfikacji plików konfiguracyjnych i systemowych. Zwycięzca wykorzystał lukę w regulaminie Turnieju. Zapisał swoje dane w standardowym w logu błędów serwera WWW:
„… zwycięzcą Turnieju zostaje osoba, która: – umieściła na testowanym serwerze: ID uczestnika, hasło i „Tekst rejestracyjny”. Udane włamanie na serwer rozumiane jest tylko i wyłącznie jako umieszczenie zapisu w pliku na serwerze. Zapis musi zawierać: ID i hasło uczestnika oraz „Tekst rejestracyjny” …”

Konfiguracja testowanego serwera:

Novell NetWare 6

Pentium Celeron 2 000 MHz

Pamięć RAM 768 MB DDRAM, po godz. 11 tylko 512 MB

Twardy dysk 40 GB

Karta sieciowa 3 Com 900B

Płyta główna MSI 845PE MAX

CD-ROM LG 52X

stały dostęp do Internetu przez łącze 2 MB.
Zobacz również:

Security Day zakończone

Let’s play

Security Day już jutro

Hacking.pl sponsorem Security Day

„Security Day” zhakowane

Pierwszy Ogólnopolski Turniej „Security Day” – czyli legalne włamanie