Doskonałe włamanie do NFZ?

26 lut 2007 at 15:24

Patrys

Z pewnością większość z was włamania na strony kojarzy nierozerwalnie z Gorionem, osobą powszechnie kojarzoną pod kątem bezpieczeństwa. Tym razem przedstawię wam jednak postać Roya, który dokonał czegoś dalece bardziej przebiegłego. Jego włamanie do NFZ posiada wszelkie cechy ataku idealnego — nie zostawił śladów, nie miał żadnego motywu i zrobił to bez naruszenia integralności systemu i bez obejścia zabezpieczeń cyfrowych. To sprawia, że jego atak nie kwalifikuje się pod żaden paragraf — jest całkowicie bezkarny.

Atak na NFZ

Kluczowym elementem ataku było posiadanie skrzynki e-mail. Jako przewidujący cracker, Roy swoją skrzynkę założył już lata temu, na długo przed datą ataku, który miał miejsce dzisiaj. Dzięki temu ewentualne śledztwo nie byłoby w stanie powiązać daty rejestracji z samym atakiem.

Dalej poszło z górki, Roy długo czekał na ten dzień, ale w końcu jego chytry plan chwycił. Dziś rano na jego skrzynkę przyszedł list. List z NFZ. Z załącznikiem.

Zapomniawszy dawno o swych niecnych zamiarach, Roy był nieco zaskoczony niezamówioną korespondencją. Zaskoczony do tego stopnia, że w pierwszej chwili nie wiedział, dlaczego pracownik Działu Informatyzacji wysłał mu w załączniku cały serwis NFZ wraz z panelem administracyjnym.

Epilog

Właściwie, po pewnym czasie, Roy przypomniał sobie, że wcale nie planował żadnego ataku ani włamania. Postanowił więc odpisać, pytając o co chodzi. Odpowiedź była tyle krótka, co zwięzła. I takoż nieortograficzna:

Przepraszam, to nie są wirusy. Zaszła pomyłka w adresie e-mail.

Proszę usunąć tego mail’a jak naj szybciej

Jeśli więc posiadacie konto pocztowe, strzeżcie się. Któregoś dnia może się bowiem okazać, że i wy zostaniecie bezwzględnymi crackerami, a wasze zdolności w dziedzinie inżynierii socjalnej rozwinęły się na tyle, że ofiary same się do was zgłaszają.

Roy list usunął, choć nie jestem pewien, czy ktoś inny zrobiłby to samo. Zaś Narodowemu Funduszowi Zdrowia gratulujemy działu IT.

33 Comments

by Roy

26 lut 2007 at 15:38

To najprzyjemniejsza rzecz jaka mnie w życiu spotkała. Siedzę w pracy a tu nagle przychodzi email od NFZ z całą stroną www, kodem php, bibliotekami, hasłami do baz i panelem administracyjnym. Generalnie żałuję, że ktoś w mbanku się nie pomylił albo w allegro :)
by mav

26 lut 2007 at 15:44

ROTFL.
Hehehe…może zaoferują możliwość zapisywania się do lekarza przez stronę WWW. Czaisz? Rejestrujesz się w przychodni, a już na drugi dzień dostajesz na skrzynkę swoją własną stronę NFZ, przez którą możesz się wpisać w dowolne miejsce kolejki do lekarza! BA!! Możesz nawet swojego lekarza zapisać w dowolnym miejscu NFZ-tu!
by Paweł Tkaczyk

26 lut 2007 at 15:45

Kod Allegro kiedyś się sam im „wysypał” podczas awarii bazy danych. Było to dawno temu, ale znam kogoś, kto pewnie jeszcze go ma ;)
by Roy

26 lut 2007 at 15:50

Płakałem jak usuwałem te pliki… :)
by tetsuo

26 lut 2007 at 15:51

Pewnie nastąpiłeś tym wpisem na odcisk co wrażliwszych crackerów:
http://pl.wikipedia.org/wiki/Cracker#Ewolucja_znaczenia
by Patrys

26 lut 2007 at 16:04

tetsuo:

To niech się przyzwyczają do oddzielania hackerów od włamywaczy. Ja nie jestem TVN i nie interesuje mnie, co w telewizji się przyjęło.
by tetsuo

26 lut 2007 at 16:37

Patrys: W mediach przyjęło się rozumienie słowa cracker = zły hacker. I właśnie to tak mierzi ludzi zajmujących się reverse engineeringiem softu, bo określenie cracker jako łamacz oprogramowania funkcjonowało przed powstaniem Internetu. Zresztą mniejsza z tym, ta wojenka toczy się w Polsce od co najmniej 10 lat i nie zanosi się na to, żeby się skończyła. Tzw. dobrzy hackerzy będą nazywać siebie hackerami, a włamywaczy — crackerami. Tzw. źli hackerzy będą nazywać siebie hackerami. Łamacze softu będą nazywać siebie crackerami, a hackerów — złych i dobrych — hackerami. A reszta i tak na to położy laskę. Co i ja niniejszym czynię. :-)
by diablo.kuba

26 lut 2007 at 16:44

No ale to już sie przyjelo i trudno bedzie zmienić świadomość prawie całej polski… że tak wcale nie jest :))
by meanall

26 lut 2007 at 16:45

Ja to bym chciał od razu sobie recepty powypisywać :P Albo inaczej. Macie znajomego lekarza? Bierzecie go do spółki, left join na tabeli klienci a potem tylko czekacie na dofinansowanie NFZ’tu od ilości obsłużonych pacjentów :)

Mówią, że takie rzeczy tylko w Erze, a przecież Business is everywhere :D
by Roberto

26 lut 2007 at 17:38

Naprawdę mieli wielkie szczęście, że trafili na kogoś takiego jak Roy. Niezła afera mogłaby być gdyby tego maila dostałby ktoś mniej skory do „współpracy”.
by wzs

26 lut 2007 at 17:45

No no, takiego włamu Gorion też by sie nie powstydził :)
by mkr

26 lut 2007 at 18:20

Oj zdarza się ;p Pewnej nocy odwiedzając http://www.seomoz.org/ raczej znaną w branży, zamiast pliku index zobaczyłem listing plików ;) Był tam m in. plik backup-timestamp.tar 300+ MB ;p Oczywiście pobrałem ;p Dostałem w zestawie pełną baza danych, cały kod serwisu (php + python), nawet jego nową wersja, która weszła po kilku tygodniach ;)
Gdzieś jeszcze pewnie jest do odzyskania ten plik na starym HDD. Administracja nie miała pojęcia jak to mogło się stać, ale pewni byli że widziałem listę plików generowaną przez Apache :)

Dobra rada — nie trzymać kopii danych w katalogu głównym ;) A najlepiej, co sam stosuje kodować archiwa.
by Olgierd

26 lut 2007 at 20:40

Totalna głupota.
Ale cóż, jakiś czas temu rozmawiałem z Ważnymi Osobami od IT z pewnej Dużej Firmy i pytałem dlaczego Ważne Rzeczy chodzą sobie zwykłymi mejlami, choćby bez jakiegoś szyfrowania GPG. Odpowiedź brzmiała: bo tak, bo użytkownicy by tego nie przyjęli.
Bez słów.
by xyh

26 lut 2007 at 21:25

ROTFL.
Spodziewałem się jakiegoś sql injection, a tu masz, takie coś. Włam z palcem w dupie, ba, z obiema rękoma w dupie :]
by paff

26 lut 2007 at 21:33

Hmmm, ja myślę, że pojawił sie pomysł na udostępnienie kodów źródłowych. Chłopaki zrozumieli, że sami góry nie przeniosą i tak teraz się tylko wachają…

ciśnienie rośnie…

i ktoś popuścił.
by paff

26 lut 2007 at 21:36

no i znowu byk…
moja „żona” twierdzi, że tak ma każdy informatyk, ja wiem, że mnie tylko pociesza:/

WAHAJĄ (samo H)

pozdrawiam
by cli3nt

26 lut 2007 at 23:05

ja _wiem_, że mnie tylko pociesza:/

ja też.
by qwiat

26 lut 2007 at 23:23

NFS w duchu OpenSource? ;]
by qwiat

26 lut 2007 at 23:24

Fuck, miało być NFZ* ;]
by karp

26 lut 2007 at 23:51

hihi ;[
by Roy

27 lut 2007 at 09:43

A najbardziej lubię jak ktoś (programista, webmaster) w katalogu głównym zmienia plik index.php na index.php.old który jest łatwy do przeczytania bezpośrednio w przeglądarce a nie interpretowany kod idzie bezpośrednio na ekran. Ostatnio ten precedens spotykam w 3 na 10 serwisów. (nie mówiąc już o plikach .inc)
by loku

27 lut 2007 at 11:23

Tiaa, pewne zdobyłeś dostęp bazy pod potrzeby strony WWW.
Serwery WWW w NFZ są w innych podsieciach i nie masz niestety stamtąd dostępu do baz lekarzy / pacjentów / leków.

Chyba, że byś się dostał na kompa „Pani Kasi” co przyjmuje W NFZ od rana do wieczora. I ma niejako dostęp do „poważnej” bazy danych i do internetu.

Sam pomysł z mejlem spoko.
by Patrys

27 lut 2007 at 12:02

loku:

To jest autentyk, a nie pomysł. Jakiś niepełnosprytny gość z Działu Informatyzacji NFZ naprawdę wysłał Royowi pełną kopię serwisu.
by loku

27 lut 2007 at 12:50

Źle się wyraziłem.

Zrozumiałem, że Roy wcale nie posiada konta w nfz-.pl — bo zdalnie mejla nie sprawdzi, chyba, że pracuje NFZ, albo ma dostęp do VPN’a (zwanego viatores firmy Ecutel, lub też innych zależnych od województwa). Domniemam, iż posiada domenę z nazwą nfz.pl, na którą otrzymał takowe dane.

Dlatego gratulowałem pomysłu z domeną.
ps. Nie pracuję dla NFZ, co by mogło sugerować :)
by loku

27 lut 2007 at 12:53

no teraz to nie wyszedł wpis — złe tag’i:

poprawka: nfz-[nazwa miasta].pl
nfz[cos_tam].pl
by Patrys

27 lut 2007 at 13:46

Nie, nie posiada nigdzie nazwy NFZ w domenie. Maila wysłali na zupełnie przypadkowy adres (nazwisko się zgadzało).
by Cypherq

27 lut 2007 at 19:01

Bardziej niż wpadka informatyków, rozbawił mnie styl w jakim napisałeś o tym. Masz genialną i rzadko spotykaną umiejętność pisania z niewiarygodną dawką humoru :) Dzięki serdeczne za poprawienie humoru :)
by asdf

28 lut 2007 at 12:01

wejdź mu w dupe Cypherq i zobacz czy tam też ma te umiejętność ;[
by niepodam

28 lut 2007 at 18:08

nie ma przypadkow, takich mejli tez sie nie dostaje przez pomylke. Cos tu smierdzi. Grubymi nicmi szyta ta historia.
by Patrys

28 lut 2007 at 21:08

Tak, to międzynarodowy spisek. Jestem tajnym agentem Mosadu, a Roy prawą ręką Fidela na Kubie (Kuba już się przyzwyczaił i ręka mu nie przeszkadza).
by Cypherq

01 mar 2007 at 23:23

@asdf — żal Ci, że Ty takich umiejętności nie masz? Sugerujesz, że podlizuje się Patrysowi? XD Oto Polska właśnie, ktoś poprawia Ci humor i nie możesz o tym napisać. Asdf — jesteś prawdziwym polakiem, bądź dumny z tego powodu.
by y

05 mar 2007 at 15:28

ja też tak chcę — dostać bazy.. duuużo baz :]]]
skrypty wam odam :P
by Gucio

13 mar 2007 at 14:06

LOL… to teraz każdy będzie chciał „Być taki jak Roy” hehe :D

Room 303