Oficiálne webové stránky prezidentskej kandidátky Zuzany Martinákovej boli napadnuté neznámym hackerom, ako to uvádza oficiálne stanovisko. Ten sa zahral na tlačového hovorcu a na oficiálnom webe oznámil odstúpenie Zuzany Martinákovej od kandidatúry na hlavu štátu.
Nech už bol neznámy hacker ktokoľvek, asi nebol veľkým sympatizantom Zuzany Martinákovej a tak využil veľmi jednoduchú cestu, ako to dať najavo. Našiel bezpečnostnú chybu, ktorá mu umožnila zasiahnuť do správy webu a tým pozmeniť jeho obsah. Ak si myslíte, že sa jednalo o vysoko sofistikovaný útok, mýlite sa. Ako upozornil dusoft na twitteri, pre editáciu novinky stačilo vymeniť parameter akcia v url adrese z view na edit.
http://www.zuzanamartinakova.sk/news.php?action=index&akcia=view&id=80Takto jednoducho bolo útočníkovi umožnené zmeniť obsah stránky (resp. novinku na stránke). Zuzana Martináková má relatívne veľké šťastie, že útočník tak neurobil v noci a nerozoslal linku aj s prehlásením všetkým možným médiám. Verím, že by sa po vzore TASR a AXEJET niekto toho chytil.
http://www.zuzanamartinakova.sk/news.php?action=index&akcia=edit&id=80
Bezpečnostná zraniteľnosť bola v podvečerných hodinách odstránená, je dosť možné, že len dočasným zablokovaním akejkoľvek interakcie na webe, keďže zmena parametru edit funguje stále, len nie je možné žiadnu z noviniek pozmeniť. Pri mojom pokuse som bol presmerovaný na hlavnú stránku webu.
Za vytvorením webu stojí spoločnosť SIXNET s.r.o., ktorá vytvorila aj niekoľko podobných webov a tie trpia na rovnakú bezpečnostnú chybu, ako samotný web Zuzany Martinákovej. Samotný web trpí aj na SQL Injection zraniteľnosť, ktorá môže spôsobiť aj ďalšie problémy.
Takmer pred rokom sa stal veľmi podobný prípad dnes už americkému prezidentovi Barackovi Obamovi, ktorého oficiálne stránky boli infikované XSS kódom, ktorý po navštívení stránok presmerovali užívateľa na oficiálny web protikandidátky Hillary Clintonovej.
Demonštračné video jedného z návštevníkov.
Rovnaký postup mohol zvoliť aj tento neznámy hacker, ktorý vytvoril správu o ukončení kandidatúry, pretože do tela celej správy mohol veľmi jednoducho pridať XSS kód na presmerovanie užívateľa na web ďalšieho z kandidátov.
Snáď aj táto nemilá skúsenosť bude motivovať nielen tím Zuzany Martinákovej, ale aj iné spoločnosti k výberu čo najbezpečnejších systémov. Samozrejme si uvedomujem, že vybrať si bezpečný systém nie je v silách laika, ktorý má záujem o webovú stránku. Nateraz si nie som vedomý žiadneho webu, ktorý by na Slovensku mapoval akékoľvek bezpečnostné incidenty, či zraniteľnosti.
Ja som pred časom upozorňoval na bezpečnostné nedostatky oficiálneho bratislavského webu, ktorý trpel na radu zraniteľností.
chcelo by to stranku, kde sa budu hodnotit slovenske “spolocnosti” .. :)
to bolo az takto primitivne? editovanie obsahu cez parameter v URL?
tiez som prekvapeny ze to slo takymto priam komickym sposobom…
To, ze to programator v uvedenej spolocnosti odflakol je jasne. Nechapem vsak, preco si konatel spolocnosti pri tomto type webu neuvedomil nasledky amaterskej prace.
zer0x: na projekte ktory by umoznil ludom spravit si prehlad o slovenskom internete a spolocnostiach ktore na nom posobia sa uz pracuje. zatial je to experimentalna zalezitost – nikto netusi ako sa to vyvinie
Jestli dobře tuším, tak na
http://blackhole.sk/topic/zone/security
je kopa podobných případů
len dodam, ze parameter bolo mozne zmenit za hocico, napr. aj action=vaw aleb vieaw a pod. stacil teda len preklep a ktokolvek mohol upravovat cely obsah webu.
ja neviem, kto uz mal potrebu tejto vyskerenej panej hacknut stranku. skor to povazujem dobry social engineering na ludi, ako si pritiahnut pozornost na stranku a na seba…
zranitelnost tym nespochybnujem
„Moje preferencie v posledných troch prieskumoch výrazne rastú a vyzerá to tak, že niekde už vzbudzujú obavu. Pýtam sa, komu môže záležať na diskreditácii mojej kandidatúry? Kto z toho môže ťažiť?“
Hahahaha :)
Nielen Martináková sa stala obeťou…
Toto som si všimol pred pár minútami – http://shaggy.sk/images/ujo-1.png
Už to tam bohužiaľ nie je, ale nejde o upravovaný obrázok.
tak vraj aj gaspiho hekli.. http://volby.sme.sk/c/4344124/hacker-na-gasparovicov-web-napisal-co-mu-tlaci-ujo-fico-do-hlavy.html
Zaujimava spolocnost ta SIXNET, najma tento vynatok z ich webu ma celkom zaujal: “Zároveň prevádzkujeme záložný MX server. To znamená, že vaše webstránky nebudú NIKDY nedostupné.”
Aj tie reci o tom ake je super ze neponukaju ziadny control panel, ale vsetko nastavia za nas 24 hodin denne. A za self-signed certifikat chcu 3000 Sk rocne a za Thawte dokonca 11000 Sk rocne.
Aj samotny web spolocnosti, ktora danu stranku “vytvarala” ma tu istu chybu.
Ibaze este neopravenu ;-)
#13 ja:
Už nemá :)
Niekoho zjavne napadlo, že by mohli vytrhnúť sieťový kábel k serveru, diletanti
Rasto a ja som si myslel, ze si sa nudil ty :D
:D Mozem len pogratulovat, som zvedavy ako sa ututlaju tie oznamenia. Je to fakt zaujimave :))
Nic v zlom ehmo, ale tvoj komentar na blackhole si si mohol odpustit. Predstav si, ze som to nemal ani od teba ani od dusofta, proste sa len ku mne dostal link nic viac a cely clanok som na zaklade toho napisal sam. Cize som nepouzil ziadne tvoje “znalosti”…
Fakt neviem preco si myslis, ze som to mal od teba, alebo cakas, ze nieco take mozes objavit len ty ?
Dik za vysvetlenie
Pato
#17 head: objavenie linku je znalost. ten link postol dusoft, naco dafko kontroval dalsimi informaciami. celkom ma zaujima to privatne forum, kde bol ten link postnuty. toto nikdy nebolo o mne, bolo to o ludoch, ktori na to prisli ako prvi a ktorym sa patri prejavit uctu tym, ze na nich odkazes, ako som to urobil ja v clanku.
ehmo tak este raz. To ze ten link postol dusoft neznamena, ze on je prvy, kto ho objavil a ani to, ze je jediny kto ho objavil. Alebo ak je jediny, tak potom to je on co ten web “hackol” ?
Link som nasiel na stranke kyberia.sk, co je web plny roznych for a potrebujes login aby si sa tam dostal -> je privatne… Tam bol postnuty 10.03.2009 – 18:18:58 ja som ho objavil dnes a nebola tam ziadna zmienka o tom odkial pochadza.
Prosim ta preco by som mal na teba odkazovat a hlavne ako ? Ked tvoj clanok a vase odkazy na twitteri som uvidel az po napisani mojho clanku v daka (aj osobnym) komentarom pod mojim clankom.
Chcel by som ta poprosit, aby si na blackhole uviedol na pravu mieru to co si tam napisal, lebo:
1) Nic som neokopiroval (neviem preco to bolo podla teba evidentne), videl som len link to je vsetko. Ani som nevedel kto to objavil a myslim, ze to je irelevantne, proste som zbadal link a spravil clanok.
2) Znovu opakujem, ze som to necital “u vas”, cize ani tvoj clanok ani twitter.
3) Vadi mi, ze na zaklade tvojho komentaru na blackhole, som bol ja nazvany za “postera bez chrbtovej kosti” a aj inymi nadavkami na mojom blogu.
4) Ja bohuzial stale nemam pravo reagovat na blackhole, lebo cakam na registraciu.
5) Si ma nazval “sikovnym chlapcom” akych “mas rad”, bez akehokolvek dovodu. Keby si si aspon pozrel komentare pod mojim clankom, tak by si videl ze to nemam od vas.
Ospravedlnujem sa, ze to tak riesim, ale proste sa ma to dotklo. Dal som si namahu napisat clanok vdaka linku, ktory sa ku mne dostal (ano mozno sa na kyberiu dostal vdaka vam, to neviem) a ako odmenu som dostal zosmiesnenie na blackhole a nadavky pod mojim clankom.
Vdaka
A este jedna vec. Nikde v mojom clanku sa netvarim, ze som to objavil ja, proste som to len cele rozpisal a je mi luto, ze sa to potom niekde na blackhole riesi ako by som bol nejaky plagiator.
#19 head: ja viem ze dusoft urcite nie je prvy, ktory nan prisiel, ale prvy ho verejne publikoval, z coho to cele vlastne vzniklo. pomylil si si ciel, na ktory tlacis. ja som sa snazil poukazat na to, ze link postol uz niekto iny, na ktoreho zaklade si clanok napisal. je to obycajna slusnost, nic ine. ako vidis, nemazem ani komentare, nechavam prilezitost vsetkym prejavit svoj nazor.
a uz ked sme pri tom, tak nie si jediny s pristupom na kyberiu ;)
https://kyberia.sk/id/4570670
vsimni si obsah topicu
nemas pocit, ze to hovori uplne za vsetko?
Nie nemam ten pocit, teraz uz viem, ze to je od dusofta, ale ako som to mal vediet predtym ? via dusoft mi predtym absolutne nic nehovorilo, kedze ho nepoznam. Takisto teraz uz viem, ze to je z twittera, co som nevedel. Nie kazdy je citac vsetkych blogov a sledovac twittera.
Kazdopadne nejde o to. Len som ta poprosil, aby si to uviedol na blackhole na pravu mieru, kedze aj sam musis uznat, ze ten tvoj “ton” nebol nijak priatelsky a podla teba som tam mal uviest odkazy o ktorych som nevedel…
Nebudem sa tu s tebou natahovat za slovicka, stojim si za tym, co som napisal a vidim, ze teba nepresvedcim. Som rad, ze komentare nemazes. Zelam pekny zvysok dna.
#21 head: aha, tu je pes zakopany. takze je to vlastne nakoniec moja vina, ze ty nevies napisat do googlu dusoft a pozriet, co ti to vrati. keby si napisal “via dusoft” nik by ani len nepipol. sam dusoft ti pisal pod tvoje komentare, ale to si si nemohol spojit. ani ja predsa necitam vsetko, ani nesledujem vsetkych, ale ked si neviem rady, tak sa tam snazim hodit aspon nejaky odkaz. nie vzdy sa to podari, potom znasam kritiku. ja nie som nijak neomylny, vzdy sa mi to potom vypomsti, ale taky je zivot. s tym musis vediet fungovat.
ale teraz moc nerozumiem co mam uviest na bh na pravu mieru. ved tam lekvar napisal, ze originalne zdroje su na twitteri, co je pravda. dusoft a dafko pisali oba komentare, z ktorych boli vyvodene dalsie informacie. to ze si napisal clanok samostatne nik nepopiera. nedal si odkaz na zdroj, ktory ta inspiroval, vdaka comu si sa oznacil za osobu, ktora nasla sposob, akym bola stranka zmenena. ja viem, ty si to tam nenapisal, ale uznaj, ze je to logicke pre kazdeho, kto to cital. samozrejme, ze moj ton nebol priatelsky, co si cakal, pochvalu?
nuz, mna presviedcat nemusis, fakty su fakty, tie sa nezmenia
#14 Lubos:
http://img237.imageshack.us/img237/538/6net.jpg
—
no woman – no cry
Hekli aj Radičovú aj Gašparoviča, nemá niekto bližšie info o tychto utokoch?
Radicova bezi na TYPO3. Pokial tam nema nejaky 3rd party produkt, tak pochybujem, ze ju hackli.
(Samozrejme bez ohladu na slabe heslo, prip. socialne inzinierstvo.)
#24 cca1: len toto http://www.geocities.com/westenm@rocketmail.com/
#26 majka: no jo, kopec srandy :)
#25 Tom.: aj typo ma svoje vulns
http://www.milw0rm.com/exploits/8038 ;)
a ak by nahodou niekto z panov cital tento komentar, mohli by sme spravit na blog rozhorov, napriklad cez irc, alebo silc, alebo cokolvek, co si vyberiete. staci napisat na blog@synopsi.com
no ja som to zachytil este aj na facebooku ale tu:
http://volby2009.xf.cz
Majka:
ten tvoj link nejde
oooo: Iste, ze ma, narazal som skor na to, ze by niekto nasiel novu chybu, nie stiahnuty stary expolit, pripadne nejaku SQLI. Ak som si dobre vsimol, davaju pozor, uz napriklad stiahli default login (/typo3).
#28 declan: no, tento exploit este funguje kade tade. tam sice uz nie, ale este predvcerom isiel podla vsetkeho. najst akukolvek vuln na open-source je celkom umorna praca.
#28 declan: hej uz nejde dnes :(
No, tak to vidite, to su tie skriptiky a databazy na webe. Co tak sa vratit o par rokov dozadu a spravit staticky web bez php, sql a podobnych serepeticiek :-D To by bolo trochu tazsie sa tam dostat.