hoaxer

eżeli nie znasz słowa niemożliwe. Nie boisz się wyzwań. Chcesz brać udział w ciekawych projektach. To właśnie CIEBIE szukamy! Zapewniamy doskonałe warunki do rozwoju Twojej kariery zawodowej.
Projektant/Programista Nr. Ref. PG/07/01

Od kandydata oczekujemy:
– Doświadczenia w programowaniu PHP,
– bardzo dobrej znajomości HTML, XHTML, CSS, JavaScript,
– doświadczenia i biegłości w posługiwaniu się bazami danych MySQL i/lub PostgreSQL,
– znajomości UML na poziomie użytkownika,
– znajomości środowiska Linux na poziomie użytkownika,
– umiejętności pisania przejrzystego kodu,
– stałej chęci podnoszenia kwalifikacji.

Mile widziane:
– PHP Smarty,
– dobra znajomość przynajmniej jednego z języków programowania: C, C++, Java, C#
– znajomość narzędzi do pracy grupowej.

Oferujemy:
– Praca w młodym dynamicznym zespole,
– zatrudnienie w wiodącej firmie na rynku,
– Możliwość rozwoju zawodowego,
– Atrakcyjne wynagrodzenie.

Zainteresowane osoby prosimy o przesyłanie aplikacji z dopiskiem: numer referencyjny PG/07/01 i oświadczeniem zezwalającym na przetwarzanie danych osobowych dla celów rekrutacyjnych na adres:

EL2 Sp. z o.o.
ul. Mokotowska 15A, 00-640 Warszawa,
email: biuro@EL2.pl
EL2.pl

W dzisiejszym wydaniu Gazety Wyborczej pojawił się artykuł dotyczący serwisu Hacking.pl. Jak wiadomo punkt widzenia zależy od punktu siedzenia dlatego też pozwalam sobie na komentarz owego artykułu.

Z naszą redakcją skontaktował się Pan Zbigniew Domaszewicz, etatowy redaktor działu gospodarka Gazety Wyborczej. Nasza rozmowa trwała ponad 40 min, Domaszewicz miał więc okazję użyć w swoim tekście jedynie tych informacji, które będą się wpasowywać w ogólny ton artykułu. Najwyraźniej Pan redaktor nie czuje się spełniony jako redaktor GW, zapewne chciał być informatykiem… Niestety, nie każdemu się to udaje.

Zbigniew Domaszewicz miał oczywiście prawo przypisywania Hacking.pl „taniej sensacji”. To jeden z podstawowych atutów jego zawodu. Zapomniał jednak o kilku istotnych kwestiach, o których został poinformowany w naszej rozmowie telefonicznej.

Nasze „sensacyjne” nagłówki prasowe mają na celu nie tyle promocję serwisu co dotarcie z naszymi informacjami do jak największej liczby osób. Podobnie jak każdemu autorowi książki zależy na dotarciu ze swoim przekazem do szerokiej publiczności.

Przez 7 lat działania serwisu, przeciwieństwie np. do Gazety Wyborczej, nie wydaliśmy ani złotówki na reklamę. Gro naszych czytelników ufa nam i są naszymi stałymi gośćmi od kilku dobrych lat.

Nie jest prawdą jak pisze Domaszewicz: Przez lata Hacking.pl zamieszczał głównie przedruki prasowo-agencyjne, m.in. o głośnych atakach informatycznych. Kilka tygodni temu sam wziął firmy na celownik.

Faktycznie agregujemy treści dot. bezpieczeństwa w internecie. To standard w każdej redakcji. W naszym archiwum informacji znaleźć można jednak o wiele więcej artykułów dot. poziomu bezpieczeństwa polskich firm i instytucji.

Anonimowy przedstawiciel jednej z „zaatakowanych” spółek zarzuca nam, że zrobiliśmy aferę z niczego. Cytują go autorzy tekstu: „Dla nas lepiej było wziąć to na siebie i szybko zamknąć sprawę, niż polemizować i wbijać do głowy klientom złe skojarzenia.

Ani Allegro, ani mBank czy Orange nie wiedzieli jak załatać wykryte przez nas luki. Skoro, wykryte przez nas podatności nie miały znaczenia to dlaczego nasz redakcyjny telefon był aż „gorący” od telefonów spanikowanych pracowników pionów IT.

W rozmowie z autorami tekstu rzecznicy prasowi Allegro.pl, mBanku, Orange starają się umniejszyć opublikowane przez nas informacje. I nic dziwnego. W końcu to przez nas w parę dni byli zmuszeni do wykonania takiej pracy co standardowo w miesiąc.

Niech jednak nie zapominają, że takie właśnie działania należą do ich obowiązku i za to płaci im dana firma. Co ciekawe każdy z szefów PR niezwłocznie skontaktował się z naszą redakcją. Szybka reakcja to przede wszystkim efekt nagłośnienia naszych informacji w poważnych mediach elektronicznych (Onet.pl, WP.pl, Interia.pl, TVN24, PAP). Warto też wspomnieć, że o lukach w Allegro informowała sama „Gazeta Wyborcza” na swoich stronach gospodarczych. Autorem tych artykułów jak można się domyśleć nie był Zbigniew Domaszewicz czy Tomasz Grynkiewicz lecz Łukasz Partyka – również redaktor GW.

Rzecznicy Prasowi prosili nas o podanie szczegółowych informacji dot. luk w systemach informatycznych ich firm. W każdym przypadku otrzymali je niemal natychmiast. Tak naprawdę dostali od nas darmowy audyt bezpieczeństwa.

Wszystkie opisane przez nas przypadki podatności systemów były poważne. Czy jedynym dowodem na poparcie tej tezy musi być jej udowodnienie, które docelowo zakończyło by się dla naszej redakcji wizytą w sądzie ?

Przecież logicznym jest fakt, że tak duże firmy zrobią wszystko aby umniejszyć powagę sytuacji bo to jest im na rękę.

Czytając artykuł przygotowany przez Panów Zbigniewa Domaszewicza i Tomasza Grynkiewicza mam wrażenie, że bardziej zależy im na niepodpadnięciu szefom jednych z największych firm w Polsce niż na przedstawieniu prawdy.

Nie ma się zresztą co dziwić. Allegro, mBank i Orange zapewne nie raz kupowały kampanie reklamowe na łamach Gazety Wyborczej. Ministerstwo Obrony Narodowej – nie. I właśnie idealnie to widać w artykule GW. Dlaczego szanowni redaktorzy nic nie napisali o MONie ? Pewnie dlatego, że prawdopodobnie nawiążemy współpracę z tym ministerstwem.

Pan Krzysztof Młynarski, szef firmy Teleinformatica zajmującej się bezpieczeństwem w sieci był prelegentem na naszym evencie – HackingLive 2005. Nigdy nie powiedział, że podkręcamy atmosferę na naszą korzyść. Autorzy artykułu dali dowód na to jak prosto można osiągnąć zamierzony efekt, konstruując odpowiednie pytania. Czyżby dostali zalecenie z ‘góry’ ?

Wypowiedź prawnika, z którym rozmawiali autorzy tekstu, świadczy jedynie o jego wiedzy na temat opisanych przez nas spraw. Znamy się na zagadnieniach prawnych związanych z informatyką, dodatkowo każdorazowo sprawę omawiamy z prawnikami.

Mecenas Konarski stwierdził: „przedstawianie jednej luki jako rzekomo wyjątkowego słabego stanu zabezpieczeń Allegro czy MON można uznać za rozpowszechnianie przez jednego przedsiębiorcę wprowadzających w błąd wiadomości o innym przedsiębiorcy w celu przysporzenia sobie korzyści, tj. darmowej reklamy. A to może wyczerpywać znamiona czynu z art. 14 Ustawy o zwalczaniu nieuczciwej konkurencji.”

Przez siedem lat żadna firma, instytucja czy osoba prywatna nie podała nas do sądu chociaż takie groźby były kierowane pod adresem naszej redakcji. Dlaczego skończyło się wyłącznie na straszeniu? Bo nie mieli ku temu żadnych podstaw.

Autorzy w swoim teksie piszą:
Dwa tygodnie temu zrobiło się zabawnie. Hacking.pl był przez kilka dni niedostępny, bo ktoś… włamał się na jego serwer. Zespół serwisu był oburzony, a atak uznał za „żenujący”. – Zazwyczaj tego typu ataki skutkują jedynie podmianą strony głównej (…). W tym przypadku wandale wykasowali również wszystkie pliki oraz bazy danych – napisała rozżalona redakcja Hackingu. I zarzuciła nieznanym hakerom niedojrzałość i frustrację.

Oczywiście bo jest różnica pomiędzy hackingiem a wandalizmem. Widać nie każdy ją zauważa. Przyznaliśmy, że dokonano włamania na nasz serwer – nie każdy mówi o tym otwarcie. A fakt ten świadczy jedynie o tym na ile różnych sposobów można dostać się do systemów IT. Wszystkich nie przewidzimy. Nawet my 😉

Jak twierdzi nasz redakcyjny kolega Paweł Jabłoński – „W Polsce miarą sukcesu jest liczba posiadanych wrogów”.

I jak widać ma rację – szczególnie w tym biznesie. Natomiast Dziennikarzom z GW daleko do rozumienia definicji „pojmowania sukcesu” od dawna świadomej dla Europejczyków.

Preferują oni nadal tą z poprzedniej epoki:

„Udało im się? Pewnie ukradli…” albo jak w tym przypadku „zrobili z igły widły”.

8 milionów koron, czyli blisko 4 miliony złotych zniknęło z internetowych kont klientów banku Nordea w Szwecji. Co dzień policja dostaje co najmniej jedno nowe zgłoszenie w sprawie.

Konta są odsłaniane włamywaczom za pomocą linków, przysyłanych jako element wiadomości e-mail od banku. Procedura kradzieży jest bardzo zaawansowana. Wykorzystuje specjalnie stworzonego wirusa, który potrafi dostosować się do sieci banku Nordea. Trojan uaktywnia się, gdy klient wpisuje kod osobisty, niezbędny, by cokolwiek załatwić. Wówczas dostaje fałszywą wiadomość e-mail, a w międzyczasie dane klienta są przesyłane do złodziei. Ci dokonują przelewu pieniędzy na swoje własne konta.

Oszuści są tylko pośrednikami w całym procederze. Część transakcji zatrzymują dla siebie, jako zapłatę. Reszta pieniędzy jest przesyłana do zorganizowanego gangu. Policja podejrzewa, że to on jest mózgiem całej operacji.

Funkcjonariusze sądzą, że procedura kradzieży zaczyna się w Rosji i jest dokonywana za pomocą amerykańskich serwerów. Dotychczas jednak nie udało się wytropić źródła. Jak dotychczas w Szwecji jest 125 osób podejrzanych o związki ze sprawą. Policja ma nadzieję, że będą oni stanowili trop, dzięki któremu uda się dojść do gangu.

Źródło: IAR, gazeta.pl

Firma Orange – jeden z trzech największych operatorów GSM, w ramach świadczonych usług zapewnia swoim klientom dostęp do konta email w domenie orange.pl. Wraz z kontem klient uzyskuje dostęp do organizatora on-line jak i systemu „Orange On-Line”. System ten umożliwia zarządzanie kontem abonenckim: zmianę parametrów świadczonych usług, podgląd faktur itp.
Serwis internetowy Orange podany jest na atak XSS, w wyniku którego po odebraniu przez stronę www odpowiednio spreparowanego maila, można przechwycić dane dotyczące nawiązanego połączenia co w finale umożliwia osobie atakującej nieautoryzowany dostęp do konta klienta. Bez dalszej autoryzacji uzyskujemy dostęp do sekcji:
konto email (wysyłanie, edycja, kasowanie wiadomości)
edycja profilu konta – sekcja umożliwia edycję parametrów poczty głosowej (powitań, opcji powiadamiania, pobudki itp.)
historia wysłanych przez bramkę sms’ów i mms’ów
historia odebranych przez bramkę sms’ów i mms’ów
zmiany hasła do konta i pytania przypominającego hasło
foldery – usługa pozwalające trzymać własne pliki na wirtualnym dysku
kalendarz
książka adresowej
notatki
Dodatkowo, wchodząc na stronę „Orange On-Line” możemy uzyskać informacje o numerze telefonu osoby atakowanej i usługach, które posiada zaktywowane na numerze telefonu.

Firma Orange została poinformowana o istniejących błędach.

Luki w systemie Orange znalazł Mariusz Dalewski – specjalista ds. security współpracujący z redakcją hacking.pl

Otrzymaliśmy już oficjalne stanowisko firmy Orange w sprawie wykrytych przez członków zespołu hacking.pl podatności systemu. Dzięki natychmiastowemu kontaktowi zespołu technicznego Orange z naszą redakcją, luki systemu zostały naprawione już po 2 godzinach od publikacji informacji w mediach.
Spółka PTK Centertel podjęła natychmiastowe działania mające na celu precyzyjne zidentyfikowanie i wyeliminowanie ewentualnego ryzyka naruszenia interesu klientów korzystających z usługi Multi Box.

W wyniku przeprowadzonej analizy okazało się, że szansa zaistnienia sytuacji naruszenia prywatności klientów jest znikoma. Trwają obecnie prace nad usunięciem wykrytych nieprawidłowości. Błąd zostanie usunięty jeszcze w dniu dzisiejszym.

Szybka i skuteczna reakcja miała miejsce dzięki współpracy z portalem hacking.pl za co serdecznie dziękujemy. W tym miejscu szczególnie chcieliśmy podziękować Redaktorowi Naczelnemu portalu hacking.pl Panu Rafałowi Pawlakowi oraz Panu Mariuszowi Dalewskiemu.
Marcin Gruszka
Biuro Prasowe Orange

W związku z informacją dot. włamania na serwer MON, na którym znajduje się m.in. strona internetowa Ministerstwa Obrony Narodowej www.mon.gov.pl uprzejmie informujemy, że w związku z niezadowalającym stanem informatyzacji Sił Zbrojnych RP, na polecenie ministra ON Radosława Sikorskiego został wykonany audyt systemów teleinformatycznych, a wnioski i potrzeby resortu zostały przedstawione kierownictwu MON i są w trakcie realizacji.
Jednocześnie informujemy, że nie jesteśmy jedynym serwisem, w którego systemie wykryto luki w zabezpieczeniu serwera. Świadczą o tym, ostatnie wydarzenia pokazane na przykładzie innych serwisów opisane także przez hacking.pl.

Pragniemy jednocześnie zaznaczyć i podkreślić, że na naszym serwerze publikowane są jedynie informacje jawne. Ponadto informujemy, że w chwili obecnej trwają prace nad podniesieniem bezpieczeństwa serwera MON mające na celu zabezpieczenie go przed podobnymi incydentami w przyszłości.

Wychodząc naprzeciw potrzebom w zakresie teleinformatyki w resorcie ON minister R. Sikorski z dniem 1 stycznia 2007 roku powołał do życia Departament Informatyki i Telekomunikacji MON.

Źródło: Ministerstwo Obrony Narodowej Rzeczypospolitej Polskiej

Internetowy serwis MON jest podatny na nieautoryzowaną publikację – to wynik analizy naszych specjalistów ds. security. Niezabezpieczone skrypty rządowego serwera dają dostęp do części wewnętrznych katalogów, możliwość tworzenia folderów wewnątrz systemu oraz zapisu plików w katalogach publicznych.

Odkrywcą luk w systemie Ministerstwa Obrony Narodowej jest Michał Słowik – członek zespołu hacking.pl. Umiejętne wykorzystanie tak poważnych podatności systemu – ograniczone jedynie wyobraźnią intruza – może być nieprzewidywalne w skutkach.

Fakt, iż istnieje możliwość wgrania pliku na serwer czyli w praktyce publikacji dowolnego tekstu hostowanego pod domeną mon.gov.pl (oraz niektórymi subdomenami) świadczy o wątpliwej polityce bezpieczeństwa serwera Ministerstwa Obrony Narodowej Rzeczypospolitej Polskiej.

Poniżej prezentujemy screen z plikiem informacyjnym pozostawionym przez naszą redakcje na ministerialnym serwerze.

MON

Z uwagi na wagę wykrytych podatności, do czasu naprawienia błędów przez osoby zarządzające serwerem obsługującym serwis mon.gov.pl, szczegółowe informacje związane z tą sprawą pozostają do wiadomości redakcji hacking.pl.

Zarząd grono.net informuje, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania. Co istotne, poprzez Google dostępne były wyłącznie informacje, które są jawne dla wszystkich użytkowników grono.net. Dokładnie rodzaj wyświetlanych w Google informacji oraz przyczyny wyjaśniamy w załączonej informacji.

Zarząd firmy pragnie przeprosić użytkowników za zaistniałą sytuację. Pomimo, iż nie doszło do ujawnienia żadnych tajnych danych i bezpieczeństwo prywatności użytkowników nie było zagrożone, przyznajemy, że sytuacja ta nie powinna mieć miejsca.

Traktując kwestie bezpieczeństwa bardzo poważnie nie zlekceważyliśmy tej usterki. Zablokowaliśmy działanie wadliwego skryptu Google i na wszelki wypadek zwróciliśmy się o usunięcie w trybie ekspresowym z wyszukiwarki wszelkich informacji pochodzących z grono.net. Konsekwencją tej decyzji będzie czasowe całkowite zniknięcie serwisu grono.net z Google. W zaistniałej sytuacji zarząd grono.net uznał jednak, iż najważniejsze jest dobro i zaufanie użytkowników.

Raz jeszcze przepraszamy za ewentualne niedogodności.

Z poważaniem,
Zarząd grono.net
# # #

Co się stało?
W wyszukiwarce Google w wyniku błędu skryptu indeksującego znalazły się informacje o użytkownikach grono.net, które normalnie dostępne są dla innych użytkowników grono.net a nie dla wszystkich internautów. Są to informacje, które użytkownicy sami zdecydowali się uczynić publicznymi dla innych członków grono.net. Ani ich charakter, ani zakres nie powodował żadnego zagrożenia – np. uzyskania dostępu do poczty czy przejęcia konta użytkownika. Przyczyna usterki została przez grono.net usunięta. Zwróciliśmy się także do Google o usunięcie w trybie ekspresowym z wyszukiwarki wszystkich informacji pochodzących z grono.net.

Jakie dane znalazły się w Google?
Skrypt indeksujący Google Bot był zarejestrowany w serwisie grono.net jako zwykły użytkownik i miał dostęp wyłącznie do widocznych publicznie danych – tych samych do jaki dostęp mają wszyscy użytkownicy grono.net. Dostępne były więc dane, które sam użytkownik zdecydował się ujawnić innym uczestnikom grono.net. Nie znalazły się w Google zastrzeżone dane konta użytkownika, hasła itd. Nie zostały także ujawnione dane, które użytkownik uczynił dostępnymi np. wyłącznie znajomym. Google Bot nie indeksował także ukrytych gron, ani żadnych innych informacji, których członkowie społeczności grono.net nie chcieli ujawnić. Zindeksowane zostały więc wyłącznie informacje widoczne dla każdego z miliona użytkowników serwisu. W okresie współpracy reklamowej z systemem Google, skrypt zindeksował jedynie ok. 15% profili użytkowników grono.net.

Dlaczego tak się stało?
Pod koniec 2006 roku serwis grono.net nawiązał współpracę reklamową z wyszukiwarką Google. Na podstawie instrukcji dostarczonych przez Google uruchomiono specjalny skrypt indeksujący, mający na celu jak najlepsze dopasowanie wyświetlanych na stronach grono.net reklam do poszczególnych profili użytkowników i gron tematycznych. Celem działania systemu AdSense jest dostarczanie użytkownikowi wyłącznie reklam potencjalnie go interesujących. Skrypt indeksujący zadziałał wadliwie i umieścił w wyszukiwarce także strony nie przeznaczone dla wszystkich internautów a jedynie dla innych użytkowników grono.net.

Jakie działania podjęliśmy?
Po stwierdzeniu tej sytuacji zarząd grono.net podjął decyzję o zakończeniu opartej na systemie AdSense współpracy reklamowej z Google. Zwróciliśmy się także do Google o usunięcie wszystkich rekordów dotyczących grono.net z tej wyszukiwarki.

Jak ma się ta sytuacja do niedawnego ostrzeżenia przed atakiem XSS?
Są to dwie, niezależne od siebie sprawy. Kilka dni temu pojawiła się informacja o potencjalnej możliwości ataku XSS na serwis grono.net. Dzięki szybkiemu wykryciu i natychmiastowej likwidacji luki nie odnotowaliśmy żadnej próby ataku dokonanego przy użyciu tej metody. Nie pojawiły się także publicznie informacje, w jaki sposób tego typu atak można było przeprowadzić. Obecnie serwis grono.net jest więc całkowicie bezpieczny.

źrodlo: informacja prasowa

Prezentujemy nową odsłonę serwisu. Mamy nadzieję, ze nowy design okaże się czytelniejszy a przeglądanie informacji bardziej przyjazne. Kolejne moduły będą sukcesywnie dodawane.

Przerwa w działaniu hacking.pl była spowodowana atakiem na serwer obsługujący nasz serwis internetowy.

10 stycznia w godzinach wieczornych uzyskano nieautoryzowany dostęp do serwera hacking.pl. Zazwyczaj tego typu ataki skutkują jedynie podmianą strony głównej – to ogólnie przyjęta zasada.

W tym przypadku wandale wykasowali również wszystkie pliki oraz bazy danych robiąc z serwera swoistą tabula rase. Trudno zrozumieć tego typu zachowanie. Świadczy ono wyłącznie o niedojrzałości i frustracji osób próbujących w żenujący sposób zaprotestować przeciwko sprawom, o których nie mają najmniejszego pojęcia.