Archiwa roczne

2007

Oświadczenie Orange – aktualizacja

Otrzymaliśmy już oficjalne stanowisko firmy Orange w sprawie wykrytych przez członków zespołu hacking.pl podatności systemu. Dzięki natychmiastowemu kontaktowi zespołu technicznego Orange z naszą redakcją, luki systemu zostały naprawione już po 2 godzinach od publikacji informacji w mediach.
Spółka PTK Centertel podjęła natychmiastowe działania mające na celu precyzyjne zidentyfikowanie i wyeliminowanie ewentualnego ryzyka naruszenia interesu klientów korzystających z usługi Multi Box.

W wyniku przeprowadzonej analizy okazało się, że szansa zaistnienia sytuacji naruszenia prywatności klientów jest znikoma. Trwają obecnie prace nad usunięciem wykrytych nieprawidłowości. Błąd zostanie usunięty jeszcze w dniu dzisiejszym.

Szybka i skuteczna reakcja miała miejsce dzięki współpracy z portalem hacking.pl za co serdecznie dziękujemy. W tym miejscu szczególnie chcieliśmy podziękować Redaktorowi Naczelnemu portalu hacking.pl Panu Rafałowi Pawlakowi oraz Panu Mariuszowi Dalewskiemu.
Marcin Gruszka
Biuro Prasowe Orange

Oświadczenie Ministerstwa Obrony Narodowej

W związku z informacją dot. włamania na serwer MON, na którym znajduje się m.in. strona internetowa Ministerstwa Obrony Narodowej www.mon.gov.pl uprzejmie informujemy, że w związku z niezadowalającym stanem informatyzacji Sił Zbrojnych RP, na polecenie ministra ON Radosława Sikorskiego został wykonany audyt systemów teleinformatycznych, a wnioski i potrzeby resortu zostały przedstawione kierownictwu MON i są w trakcie realizacji.
Jednocześnie informujemy, że nie jesteśmy jedynym serwisem, w którego systemie wykryto luki w zabezpieczeniu serwera. Świadczą o tym, ostatnie wydarzenia pokazane na przykładzie innych serwisów opisane także przez hacking.pl.

Pragniemy jednocześnie zaznaczyć i podkreślić, że na naszym serwerze publikowane są jedynie informacje jawne. Ponadto informujemy, że w chwili obecnej trwają prace nad podniesieniem bezpieczeństwa serwera MON mające na celu zabezpieczenie go przed podobnymi incydentami w przyszłości.

Wychodząc naprzeciw potrzebom w zakresie teleinformatyki w resorcie ON minister R. Sikorski z dniem 1 stycznia 2007 roku powołał do życia Departament Informatyki i Telekomunikacji MON.

Źródło: Ministerstwo Obrony Narodowej Rzeczypospolitej Polskiej

Fatalne zabezpieczenie serwerów Ministerstwa Obrony Narodowej

Internetowy serwis MON jest podatny na nieautoryzowaną publikację – to wynik analizy naszych specjalistów ds. security. Niezabezpieczone skrypty rządowego serwera dają dostęp do części wewnętrznych katalogów, możliwość tworzenia folderów wewnątrz systemu oraz zapisu plików w katalogach publicznych.

Odkrywcą luk w systemie Ministerstwa Obrony Narodowej jest Michał Słowik – członek zespołu hacking.pl. Umiejętne wykorzystanie tak poważnych podatności systemu – ograniczone jedynie wyobraźnią intruza – może być nieprzewidywalne w skutkach.

Fakt, iż istnieje możliwość wgrania pliku na serwer czyli w praktyce publikacji dowolnego tekstu hostowanego pod domeną mon.gov.pl (oraz niektórymi subdomenami) świadczy o wątpliwej polityce bezpieczeństwa serwera Ministerstwa Obrony Narodowej Rzeczypospolitej Polskiej.

Poniżej prezentujemy screen z plikiem informacyjnym pozostawionym przez naszą redakcje na ministerialnym serwerze.

MON

Z uwagi na wagę wykrytych podatności, do czasu naprawienia błędów przez osoby zarządzające serwerem obsługującym serwis mon.gov.pl, szczegółowe informacje związane z tą sprawą pozostają do wiadomości redakcji hacking.pl.

Oświadczenie Zarządu grono.net

Zarząd grono.net informuje, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania. Co istotne, poprzez Google dostępne były wyłącznie informacje, które są jawne dla wszystkich użytkowników grono.net. Dokładnie rodzaj wyświetlanych w Google informacji oraz przyczyny wyjaśniamy w załączonej informacji.

Zarząd firmy pragnie przeprosić użytkowników za zaistniałą sytuację. Pomimo, iż nie doszło do ujawnienia żadnych tajnych danych i bezpieczeństwo prywatności użytkowników nie było zagrożone, przyznajemy, że sytuacja ta nie powinna mieć miejsca.

Traktując kwestie bezpieczeństwa bardzo poważnie nie zlekceważyliśmy tej usterki. Zablokowaliśmy działanie wadliwego skryptu Google i na wszelki wypadek zwróciliśmy się o usunięcie w trybie ekspresowym z wyszukiwarki wszelkich informacji pochodzących z grono.net. Konsekwencją tej decyzji będzie czasowe całkowite zniknięcie serwisu grono.net z Google. W zaistniałej sytuacji zarząd grono.net uznał jednak, iż najważniejsze jest dobro i zaufanie użytkowników.

Raz jeszcze przepraszamy za ewentualne niedogodności.

Z poważaniem,
Zarząd grono.net
# # #

Co się stało?
W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia – np. uzyskania dostępu do poczty czy przejęcia konta użytkownika. Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net.

Jakie dane znalazły się w Google?
Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych – tych samych do jaki dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net.

Dlaczego tak się stało?
Pod koniec 2006 roku serwis grono.net nawiązał współpracę reklamową z wyszukiwarką Google. Na podstawie instrukcji dostarczonych przez Google uruchomiono specjalny skrypt indeksujący, mający na celu jak najlepsze dopasowanie wyświetlanych na stronach grono.net reklam do poszczególnych profili użytkowników i gron tematycznych. Celem działania systemu AdSense jest dostarczanie użytkownikowi wyłącznie reklam potencjalnie go interesujących. Skrypt indeksujący zadziałał wadliwie i umieścił w wyszukiwarce także strony nie przeznaczone dla wszystkich internautów a jedynie dla innych użytkowników grono.net.

Jakie działania podjęliśmy?
Po stwierdzeniu tej sytuacji zarząd grono.net podjął decyzję o zakończeniu opartej na systemie AdSense współpracy reklamowej z Google. Zwróciliśmy się także do Google o usunięcie wszystkich rekordów dotyczących grono.net z tej wyszukiwarki.

Jak ma się ta sytuacja do niedawnego ostrzeżenia przed atakiem XSS?
Są to dwie, niezależne od siebie sprawy. Kilka dni temu pojawiła się informacja o potencjalnej możliwości ataku XSS na serwis grono.net. Dzięki szybkiemu wykryciu i natychmiastowej likwidacji luki nie odnotowaliśmy żadnej próby ataku dokonanego przy użyciu tej metody. Nie pojawiły się także publicznie informacje, w jaki sposób tego typu atak można było przeprowadzić. Obecnie serwis grono.net jest więc całkowicie bezpieczny.

źrodlo: informacja prasowa

Nowa odsłona hacking.pl

Prezentujemy nową odsłonę serwisu. Mamy nadzieję, ze nowy design okaże się czytelniejszy a przeglądanie informacji bardziej przyjazne. Kolejne moduły będą sukcesywnie dodawane.

Przerwa w działaniu hacking.pl była spowodowana atakiem na serwer obsługujący nasz serwis internetowy.

10 stycznia w godzinach wieczornych uzyskano nieautoryzowany dostęp do serwera hacking.pl. Zazwyczaj tego typu ataki skutkują jedynie podmianą strony głównej – to ogólnie przyjęta zasada.

W tym przypadku wandale wykasowali również wszystkie pliki oraz bazy danych robiąc z serwera swoistą tabula rase. Trudno zrozumieć tego typu zachowanie. Świadczy ono wyłącznie o niedojrzałości i frustracji osób próbujących w żenujący sposób zaprotestować przeciwko sprawom, o których nie mają najmniejszego pojęcia.

III Kongres Bezpieczeństwa Sieci

W dniach 20 i 21 lutego w Warszawie odbędzie się III Kongres Bezpieczeństwa Sieci, podczas którego odbędą się 3 równoległe konferencje: Firewall & VPN GigaCon, Network Security GigaCon, Secure Mail GigaCon. Wstęp bezpłatny!

Kongres odbędzie się w w hotelu Marriott w Warszawie pod hasłem:

BEZPIECZEŃSTWO = OSZCZĘDNOŚĆ.

Czy wiesz ile w sumie kosztuje Cię spam, przerwy w funkcjonowaniu sieci spowodowane wirusami czy też źle dobrane lub nieszczelne rozwiązania zabezpieczające? A ile warte są dane przechowywane w firmowych komputerach?

Inwestuj mądrze w bezpieczeństwo swojej sieci!

III Kongres Bezpieczeństwa Sieci ma na celu przedstawienie rozwiązań, które zapewnią ochronę przed zagrożeniami, jakie niesie ze sobą internet.

To bez wątpienia największe spotkanie branży bezpieczeństwa w Polsce.

Wykładom będzie towarzyszyć wystawa najnowszych rozwiązań i produktów z zakresu bezpieczeństwa sieci.

Podczas Kongresu swoje rozwiązania w zakresie bezpieczeństwa zaprezentuje między innymi Allegro.pl – największa w Polsce aukcja interenetowa.

Patronat honorowy objęła Konfederacja Pracodawców Polskich.

Hacking.pl objął patronat medialny nad tym wydarzeniem.
www.kongresbezpieczenstwa.org

Dziura w rozszerzeniu Adobe PDF

Okazuje się, że rozszerzenie Adobe PDF dla przegladarek internetowych (instalowane zresztą razem z aplikacją Adobe) zawiera lukę pozwalającą na wykonanie dowolnego kodu JavaScript

Stanowisko mBanku

W nawiązaniu do artykułu „Bezpieczeństwo klientów mBanku zagrożone!”, opublikowanego w serwisie hacking.pl 3 stycznia 2007 r., mBank prezentuje swoje oficjalne stanowisko w sprawie.

Bezpieczeństwo klientów mBanku zagrożone!

Opublikowana przez naszą redakcje informacja dotycząca luk w systemie Allegro zmobilizowała wielu naszych czytelników do sprawdzenia zabezpieczeń innych dużych platform i systemów finansowych, z których codziennie korzystają polscy internauci.

Jak się okazało mBank – jeden z dwóch największych banków wirtualnych w Polsce posiada luki, które po kliknięciu w odpowiednio spreparowany link pozwalają na dostęp do konta bankowego zalogowanego klienta tej instytucji.

Co prawda, nie ma możliwości wykonania przelewów – czyli teoretycznie nasze pieniądze są bezpieczne gdyż każda transakcja musi być uwierzytelniona hasłem jednorazowym z karty kodów.

Błędy w systemie dają jednak pełen wgląd do:

– danych o właścicielu konta (adres zamieszkania, e-mail itp.)
– historii przelewów (odbiorca i kwota)
– informacji o lokatach
– danych dotyczących kart kredytowych (numer karty, limity, producent)
– informacji o zaciągniętych kredytach, ubezpieczeniach
– listy przelewów / zleceń stałych
– numerów list haseł jednorazowych

Luki w systemie mBanku znalazł jeden z naszych czytelników – Michał Majchrowicz – wspólnie z naszym redakcyjnym kolegą Łukaszem Lachem.

Ze względu na duże zagrożenie związane z wykorzystaniem błędu – do czasu poprawienia systemu przez pion techniczny banku – nie publikujemy konkretnych informacji dotyczących odnalezionych podatności.

Źródło: własne

Szkoła Hackerów