Paweł szaleje. Kiedy zasugerowaliśmy mu, że sam nic nigdy nie opublikował na Secunii ani na Bugtraq, a tytułuje się ekspertem pod kątem
bezpieczeństwa, postanowił, że dłużej tak być nie może i sprawę trzeba czym prędzej ruszyć do przodu.
Jak postanowił, tak uczynił… i przekleił na bloga cały traffic z list bezpieczeństwa z ostatniego tygodnia.
A to wszystko przez to, że w wolnej minucie pozwoliłem sobie na żart.
bblog.pl i CSRF
Jeden z rodzajów złośliwych ataków na systemy informatyczne to właśnie podrabianie zapytań,
czy jak bardziej obrazowo określił to nasz specjalista:
Widać jakimi metodami posługuje się ta samozwańcza “elita”, która odziwo ma zawsze najwięcej do powiedzenia o poziomie wiedzy innych, podczas gdy sobą reprezentuje totalne dno i czyni jakże kompromitujące manewry.
Zgadza się, znaleźliśmy podatność na CSRF w systemie bblog.pl. Wymagało to założenia darmowego konta i kliknięcia myszką (sztuk pięć). Idea jest prosta — na dowolnej stronie w Internecie wystarczy umieścić odnośnik do zewnętrznych danych, o formacie takim, jak te zacytowane na blogu Pawła:
http://paweljablonski.bblog.pl/adm/edit_post,rm,1183.html
Jest to atak o tyle ciekawy, że skierowany na konkretnego użytkownika. Schematów przeprowadzenia jest wiele. Mój żart był jedną z najtrywialnieszych możliwości i stosował odnośniki umieszczone jawnym tekstem. Poświęcając minutę więcej, możnaby skorzystać z mod_rewrite i przekierować na przykład zdjecie.jpg na odpowiedni adres dopiero po stronie serwera, zaś w jawnym tekście umieścić tylko odwołanie wyglądające na niewinny obrazek.
Zabezpieczenie
Mam nadzieję, że bblog.pl załata swoją aplikację, bo atak zalicza się do grupy man in the middle
i jest o tyle złośliwy, że fizyczne skasowanie notki odbywa się przez zalogowanego prawowitego właściciela bloga. Znany powszechnie koń trojański.
Jako najprostszą metodę zabezpieczenia polecam wygenerowanie unikalnego klucza dla każdej sesji i umieszczenie go w sesji, gdzie nie może zostać podejrzany nawet przez przeglądarkę zalogowanego użytkownika, następnie klucz taki należy dołączyć do wszystkich odnośników, które wyzwalają nieodwracalne akcje (usunięcie notki, zmiana kategorii itp.). Zwykłe porównanie otrzymanego klucza z tym zapisanym wcześniej pozwoli zapobiec wszelkim wywołaniom CSRF.
Na zakończenie proponuję przeczytać sobie cały tekst człowieka, któremu zarzucano wiele razy zbyt elokwentne pisanie
(cytat z jego bloga), widać po nim wyraźnie, że Paweł cały czas pracuje nad swoją formą i na szczęście wspomniana elokwencja już nie powróci. Gratuluję także wylistowania zawartości katalogu z prawami do publicznego czytania, telewizja z pewnością będzie zobowiązana, mogąc Pawła gościć ponownie.
Update: tytuł notki powstał dzięki inspiracji osoby o pseudonimie roztytybaleron. Serdecznie dziękuję.
`pierwszy`. Co fakt to fakt. Co miał na bugtraq’u opisywać, błędy na stronie gubernatora Australii? [;
To jest już dawno załatane lol. Aleś Hameryke patrys odkrył :D
czy gorion napisal gdziekolwiek ze listing tych plikow nie byl ogolnodostepny?
flexi:
Zdefiniuj “dawno.” Kiedy CSS znajdował się na moim blogu, działało wyśmienicie.
hacking.pl hacked, hack.pl hacked, ihack.pl hacked.Tylko czekać aż poleci blog goriona
No dobra. Ale dlaczego to zrobiłeś? Nie znam Wordpressa, czy skasowanie notki jest permanentne? Jeśli tak, to zabawiłeś się w wandala, nawet jeśli Ci to nie wyszło. Nie nazwałbym tego “żartem”, to bardziej jak przejście od słów (poprzednie notki o Gorionie) do czynów (wrzucenie złośliwego CSS). Zawiodłem się :(
a co zostału mu po publikacji wpisu na paweljablonski.bblog.pl? napisanie że to był żart :D
flexi:
Pół Internetu o tym wiedziało, przeoczyłeś moment, w którym dwieście osób wysłało mu jednocześnie linka?
Patrys przeprowadził atak celem podniesienia poziomu bezpieczeństwa portalu bblog.pl, ponieważ listy, które wysyłał do przedstawicieli administracji, tfu, wróć, przedstawicieli bblog.pl były ignorowane. Atakiem tym chciał obnażyć kolesiostwo i nieudolność administratorów serwisu bblog.pl.
Na chwilę obecną patrys czeka na zaproszenie do TVN. Mam nadzieje, że wspomni kilka słów o mnie, ponieważ w trakcie pisania tego css’a gorąco go dopingowałem, a wcześniej zasugerowałem przeprowadzenie właśnie CSRF na bblog.pl. Mam nadzieje, że patrys przekaże mi 10% uzyskanych w ten sposób punktów lansu.
Co do robienia Kernel Traffic, tfu, wróć, Secunia Traffic przez goriona to jest to pomysł bardzo nowatorski i z niecierpliwością czekam na kolejne odcinki.
moje pytanie:
gorion publicznie chwalił się włamaniem na servery policji czy tam czegokolwiek. przyznał sie do tego publicznie w tv. to chciałebym sie zapytac dlaczego prokuratura nic w tym kierunku nie robi ?
rozumiem ze prawo obnazania zabezpieczen maja pewne organa, jakies oficjalne certy, rozumiem ze mamy prawo jak w Mexyku (a moze juz nie carstein), ale to chyba karalne wlamywac sie na server policji, gdziekolwiek by nie byl. ?
tdi: nawet prokuratura wie, że Gorion zlamił i w ogóle nie tknął serwerów policji, więc oszczędzili sobie zachodu ;)
Jeśli ktoś zgłosi podejżenie o popełnieniu przestepstwa, to gorion musi być scigany/sądzony z urzędu, art. 267 §1 n.k.k. i kilka innych. Przyznanie sie do winy jest w TVN i na Youtube ;p , wiec kara ograniczenia wolności, albo pozbawienia wolności do lat 2 to pewniak.
Zgodnie z moją wiedzą prawną gorion podpada pod paragraf o naruszenie tajemnicy korespondencji. Sprawa jest o tyle ciekawa, że zazwyczaj nie ma innej możliwości skazania kogoś za włamanie internetowe jak właśnie oskarżyć go o naruszenie korespondencji. Bardzo często więc naciąga się dowody włamania, żeby taką właśnie hipotezę potwierdzić. (bo jak wielokrotnie już słyszałem, że prawodawstwo w tych kwestiach mamy na poziomie meksyku).
W przypadku goriona sprawa jest jasna – firma flexopartner, czy jak się tam oni zwą może spokojnie go oskarżyć o naruszenie tajemnicy korespondencji. Pewnie dostanie wyrok w zawieszeniu, ale takie przypadki trzeba eliminować.
imho przy prowokacji dziennikarskiej to nie działa ;-)
lorddav mylisz się, działa.
Prowokacja dziennikaraksa, może być jedynie chroniona tajemnicą dziennikarską!
A tu mamy do czynienia z jawnym przyznaniem się do złamania art.267 przez pana g.!!!
Art. 180. § 1. Osoby obowiązane do zachowania tajemnicy służbowej lub tajemnicy związanej z wykonywaniem zawodu lub funkcji mogą odmówić zeznań co do okoliczności, na które rozciąga się ten obowiązek, chyba że sąd lub prokurator zwolni te osoby od obowiązku zachowania tajemnicy.
§ 2. Osoby obowiązane do zachowania tajemnicy adwokackiej, lekarskiej lub dziennikarskiej mogą być przesłuchane co do faktów objętych tą tajemnicą tylko wtedy, gdy to jest niezbędne dla dobra wymiaru sprawiedliwości, a okoliczność nie może być ustalona na podstawie innego dowodu. O przesłuchaniu lub zezwoleniu na przesłuchanie decyduje sąd. Na postanowienie sądu przysługuje zażalenie.
§ 3. Zwolnienie dziennikarza od obowiązku zachowania tajemnicy nie może dotyczyć danych umożliwiających identyfikację autora materiału prasowego, listu do redakcji lub innego materiału o tym charakterze, jak również identyfikację osób udzielających informacji opublikowanych lub przekazanych do opublikowania, jeżeli osoby te zastrzegły nieujawnianie powyższych danych.
§ 4. Przepisu § 3 nie stosuje się, jeżeli informacja dotyczy przestępstwa, o którym mowa w art. 240 § 1 Kodeksu karnego.
§ 5. Odmowa przez dziennikarza ujawnienia danych, o których mowa w § 3, nie uchyla jego odpowiedzialności za przestępstwo, którego dopuścił się publikując informację.
Przestępstwo pana G. powinno być ścigane z urzędu bez dwóch zdań.
Chyba, że przyzna przed sądem, że nie miała dostępu do serwerów, tylko się lansował :D może będzie to okoliczność łagodząca.
no nie miał… maile przechwycał sobie z dupy? bazy danych należące do kwp? itd? tak samo bilingi nfz. weźcie już przestańcie wymyślać :D
Temat tego gościa zrobił się już nudny – tak jak po pewnym czasie znudziły się kawały o Chucku Norrisie. W gruncie rzeczy osiągnął już to czego zawsze pragnął – popularność ;).
Pozdrawiam ludzi chcących iść w jego ślady (#chcialbym_byc_jak_gorion).
Jak to fajnie brzmi, gdy ktos, kto sam grozil innym (irc.pl ops oraz mmmazur), zali sie, ze jemu groza. Albo jak pomija konkretne argumenty…
brawo panie gorion, trzeba sie zalic na to, ze ktos sie czepia glosu… a to, ze 90% “czepia sie prawdy”, to juz mozna przemilczec
ciota.
errata do powyzszego: mmazur (sorry)
oraz: “czepia sie” prawdy
Popieram michala: temat goriona robi się już nudny. Ile można pisać o trollu?
> gorion publicznie chwalił się włamaniem na servery policji czy tam czegokolwiek. przyznał sie do tego publicznie w tv. to chciałebym sie zapytac dlaczego prokuratura nic w tym kierunku nie robi ?
Pewnie nie zwróciłeś uwagi, ale w programie w TVN jest to wyraźnie powiedziane. Ten policyjny ekspert stwierdza wyraźnie, że traktują to jedynie jako audyt bezpieczeństwa i stąd gorionowi nie grozi odpowiedzialność prawna.
Inna sprawa, że nie wiem na ile taka deklaracja policyjnego eksperta jest wiążąca i oficjalna.
Prawo nie działa wstecz, gorion zlamał prawo już przed programem, przygotowując się do niego. Ponadto ten koles co w programie siedział nie ma raczej kompetencji do stanowienia oficjalnie w imieniu policji. Jak by chcieli audyt to by przewtarg ogłosili i innymi kanałami, a nie przez TV.
PS. Nie mam już zdrowia pisać i czytać o gorionie. Gdzie nie wejdę to gorion, lodówki boję się otwierać! Wziął by chłopak pomógł sobie i nam wszystkicm i wyjechał na 5 lat do konga, albo mozambiku robic karierę wśród tamtejszych szamanów… lamerzyna.
No napewno ty byś zrobił to lepiej……… a nagroda to bilet dla ciebie na kamczatke
niech oficjalnie ktoś pokroju lcamtufa (w sensie, że tak znany) da mu oficjalną ekskomunikę, spokój będzie :P
Na ekskomunikę osób pokroju lcamtufa to sobie trzeba zasłużyć :)
A na poważnie – jakikolwiek głos tak znanej osoby w tej kwestii tylko dodałby powagi całej sprawie. A sprawa goriona jest krańcowo niepoważna.
Na dzień dzisiejszy uważam, że w temacie goriona powiedziano już wszystko, co można było powiedzieć i powinniśmy spuścić na to zasłonę milczenia. Przyznaje, było śmiesznie, czasami żenująco, ale chyba już wystarczy. Tyle z mojej strony.
@D4rky
“niech oficjalnie ktoś pokroju lcamtufa (w sensie, że tak znany) da mu oficjalną ekskomunikę, spokój będzie :P”
Spokój będzie chyba jedynie, gdy wszyscy przestaniecie o tym rozmawiać. Ten gość to zwykły mitoman z jakimiś schizami – jara go jego aktualna popularność a wszystkie próby wyśmiania sprowadza do zazdrości, spisków itd.
Nie wiem dlaczego się tak wszyscy przejmują tym tematem.
dokladnie, dopiec mu mozna przestająć o nim zupełnie pisać.. ‘nie napiszę o gorione kolejnej piosenki’. pisanie o nim to dolewanie oliwy do ognia, zwanym gorion-ego.
Super. Ale tak troszke odbiegajac od tematu… gdzie post o rozowych stringach i klujacych mikolajach?;p Oj nudnawy ten blog;p
Ja gdy z nudów przeglądnęłem kilka niedostępnych publicznie plików na serwerze mojego dawnego LO dostałem 3 miesiące w zawieszeniu!
he lol2,3
‘temat goriona’ znudzil mi sie po niespelna godzinie, zas widze po googlach ze niektorzy strasznie sie tym jaraja. piszac jaki to z goriona lame etc sami sprowadzacie sie ponizej jego tzw poziomu (np: http://platyna.platinum.linux.pl/gorion/ czy wspomniany #). jest oto tak, ze ten caly ‘gorion’ buduje swoje ego, ale wiekszosc ludzi nie robi nic innego niz sam obiekt z ktorego szydza – na pierwszy rzut oka da sie zauwazyc ze jadacy po gorionie pragna podbudowac takze poczucie wlasnej wartosci bo : istnieje ktos gorszy odemnie, taki straszny lame i ogolem roflmao. reasumujac: l337!
jakby ktos mial jakies watpliwosci: nie bronie wcale goriona i mam go kolopaly, pisze zwyczajnie jak to wyglada dla kogos niezwiazanego z calym tematem.
imnsho takie przypadki jak gorion sie zdazaja i najlepiej miec w nie wyjebke. pisanie o nich i podniecanie sie nimi niczego nie dowodzi i niczego nie zmieni – some ppl will never powerlevel :-)
g.v: congrats :-) znajomy ‘haker’ dostal 2 lata w zawiasach i 1000 zl grzywny :) be more careful and first sploit yr own network :-)
a kozystajac z okazji bede pro i zrobie defejsa wlasnego komentarza: greets to all n31, fluke_noobwalker i –p–n–g– :-)
“nie dyskutuj z idiota, najpierw sprowadzi cie do swojego poziomu a potem pokona doswiadczeniem”.
witam
Mozecie dac linka do pelnego zapisu programu teraz my z gorionem – znalazlem kilka ale wszedzie jest jakas urwana wersja (shackowana ? ;))
“niech oficjalnie ktoś pokroju lcamtufa (w sensie, że tak znany) da mu oficjalną ekskomunikę, spokój będzie :P”
tylko zauwaz, ze Ci pokroju lcamtufa wlacznie z nim samym sa za gorionem. czepiacie sie glupot robicie z siebie debili za przeproszeniem.
o czym najlepiej swiadczy dyskusja na wikipedii:p (o ile dobrze pamietam tresc)
@trend
“tylko zauwaz, ze Ci pokroju lcamtufa wlacznie z nim samym sa za gorionem. czepiacie sie glupot robicie z siebie debili za przeproszeniem.”
“Według mojej wiedzy i po przejrzeniu artykułu i strony WWW autora, ta osoba nie wniosła (jeszcze) żadnego istotnego wkładu w rozwój zagadnień bezpieczeństwa komputerowego (w odróżnieniu np. od Venglina, który zresztą ma dużo skromniejszy biogram), ani nie zaistniała medialnie w kraju lub za granicą na skalę, która uzasadniałaby miejsce w Wikipedii, więc zgłaszam (za co pewnie mi się dostanie ;-)..”
– (lcamtuf)
http://pl.wikipedia.org/wiki/Wikipedia:SDU/Pawe%C5%82_Jab%C5%82o%C5%84ski
Ostatnie zdanie o zaistnieniu medialnym jest już nie prawdziwe.
W myśl zasady “Nie ważne jak piszą – ważne, ŻE piszą” – gorion osiagnął pełen sukces. Tak czy owak miał pewnie nadzieję na EOT i pławienie się w laurach, ale nie wyszło.
P.S.
Gorion: Syn Prezesa v2.0 ? :>
nie wiem czy gdzieś to już było ale :E http://www.nto.pl/apps/pbcs.dll/article?AID=/20061230/REPORTAZ/61230025
Z bloga Goriona -> “Premierę planuję na 1 marzec.”
Jak widac nie tylko nie radzimy sobie z jezykiem angielskim lecz rowniez z ojczystym. :]