DotClear => FlatPress

13, Mar, 2010

Můj předchozí blog postavený na DotClear stále nefunguje díky podezřelé chybě, která nastává při include a require souborů, zřídil jsem si zatím dočasný blog, který se možná stane i blogem trvalým založeným na FlatPressu, který se mi zdál zajímavý.

Problém s DotClearem končí následujícím chybovým hlášením:

URL using bad/illegal format or missing URL

Jedná se pravděpodobně o bug curl-wrapperu v PHP a již jsem kvůli němu kontaktoval poskytovatele svého hostingu.

Relevantní odkazy na problém: 1, 2, 3, 4

Funici.info

13, Mar, 2010

Ve středu 10. 3. 2010 se k mému překvapení na stránce funici.info objevil tento příspěvek:

Pokus o napadení účtu
Před nějakou dobou byl proveden pokus o napadení jednoho účtu zde na serveru - “útok” byl veden z IP [censored], což je Strahovská IP účtu [censored] - google nás dovedl sem: http://www.shy.cz/ - S velkou pravděpodobností se tedy účet pokusil napadnout přímo eXander, nebo Fey. Pokud k tomu mají co říct, zde jim dávám prostor - pokud ne, tak alespoň víte, s kým máte tu čest.

Co se vlastně stalo? Někdy v horizontu čtrnácti dní zpět jsem testoval SQL Injection na několika webech na které jsem narazil. Test probíhal asi takto, vzal jsem vždy jeden z následujících řetězců a samostatně či s kombinací nějakého textového řetězce (například loginu, zprávy, atd.) jsem ho vkládal do několika formulářů a URL adres, které mi na stránkách padly do oka.

'
#
' or 1=1#

To jsem prováděl pod svojí vlastní IP a zcela veřejně, protože to nepovažuji za žádnou zvláštní či nebezpečnou činnost. Dotaz ve formě v jaké je formulován čistě testuje zda-li jsou stránky náchylné k SQL Injection či nikoliv. Návštěva jedné stránky trvala asi 2 až 10 minut podle toho kolik formulářů a příležitostí jsem na ní našel a testy byly prováděny ručně zadáváním přímo do formulářů nebo URL adres.

Což jen ctí programátory, tento test jejich stránek prošel až na výjimky neúspěšně. A objevené výjimky by pravděpodobně nebyly snadno zneužitelné.

Proč jsem to dělal? Proč ne? Ač mě samotná tvorba webu příliš neláká (věnuji se spíše C++ a Javě) o bezpečnost na webu se již nějakou dobu zabývám a přijde mi velice lákavým tématem.

Co mě ale přímo vyvedlo z rovnováhy je výše zmíněný příspěvek na fóru funici.info, který mě obviňuje z napadení účtu, což by přešel s pousmáním, ale zároveň zveřejňuje moji IP adresu a doménové jméno a navíc do tohoto svého vykonstruovaného obvinění vtahuje Fey díky tomu, že se mnou sdílí stránky.

Rozeberme si tedy tuto logiku.

  • Někdo zkusí SQL Injection na moji stránku
  • Budu se tím nějak hlouběji zabývat
  • Podle nicku obsaženém v IP adrese budu hledat na internetu osoby s danou přezdívkou
  • Obviním všechny osoby, které sdílejí stránky s osobou s danou přezdívkou

Zdá se Vám to také zcestné? Tato událost měla skončit u prvního bodu. Díky bohu, že detektivové z funici.info nevygooglili jako první můj profil na lide.cz, protože jinak by možná obvinili všechny registrované uživatele.

Zvláštní věcí je i samotné zveřejnění tohoto pobuřujícího příspěvku na jejich fóru. Předpokládám, že stránka rozsahu funici.info má řádově alespoň stovky přístupů denně a předpokládám, že takových 1-10 pokusů o SQL Injection do měsíce.

Proč se tím vůbec zabývat? Odpověď je nabíledni. SQL Injection by se nikdo nezabýval, možná by zkusil vygooglit IP, ale tam by to haslo, proč se tím tedy funici.info dále zabývali. Musela jim padnout do oka Fey se kterou sdílím stránky a je na serveru funici.info známá a veškerá iniciativa serveru funici.info směřovala pouze k tomu Fey poškodit. Jinak si nedovedu vysvětlit proč se tím samozvaný detektiv vůbec zabýval, proč se nás nesnažil před uveřejněním výše zmíněného příspěvku na fóru alespoň kontaktovat. Další důvod, který mi dává za pravdu je ten, že ač jsem se pokusil již dvakrát kontaktovat server funici.info ani jednou mi nebylo odpovězeno, ale alespoň se díky tomuto mému promptnímu zásahu přestala šířit laviny pomluv na Fey, která tak musela čelit obvinění se kterým ve skutečnosti neměla co do činění.

Zmíněné dva dopisy serveru funici.info následují.

První dopis:

Dobrý den,

ano, asi deset minut jsem testoval na Vašem webu ochranu proti SQL Injection (jakožto i na jiných webech). Musím říci, že neúspěšně, což jenom ctí Vašeho programátora.

Musím podotknout, že testování bezpečnosti Vašich nebo i jiných stránek je naprosto legální záležitostí a neměl jsem v úmyslu jakýmkoli způsobem Váš web poškodit, Vaše počínání při zveřejnění mé ip adresy a doménového jména ovšem již tak v pořádku není. Dalo by se považovat jako jednání proti zákonu č. 101/2000 Sb., o ochraně osobních údajů (Viz například http://www.lupa.cz/clanky/podle-eu-je-ip-adresa-osobnim-udajem). Nejvíce mě však zaráží etičnost Vašeho jednání a to ve dvou bodech:

1. Samo zveřejňování údajů - co Vás to proboha napadlo?
2. Dávání mého osobního počínání do souvislosti s Fey, která s jeho činěním nemá jakoukoli spojitost - což považuji za nanejvýš nevhodné chování

Žádám Váš web o okamžité odstranění jakýchkoli informací o mé ip adrese a doménovém jménu. Můžete je však nahradit mou e-mailovou adresou a informaci o “napadení Vašich účtů” na fóru klidně ponechat. Dále žádám o omluvu za toto faux pas z Vaší strany a nejvíce pak o omluvu směřovanou samotné Fey a to za poškození její osoby a jakýmkoli jejím spojováním s tímto incidentem.

S pozdravem

eXander

Druhý dopis:

Dobrý den,

tak jsem stále čekal, že mě alespoň někdo z vedení furrici.info kontaktuje a poskytne nějaké vysvětlení Vašeho chování.

Stále více mi připadá, že Vaším cílem bylo pouze poškodit Fey a můj bezvýznamný pokus s testováním bezpečnosti byl pouhou záminkou. Jak jinak si vysvětlit, že mě za celou tu dobu nekontaktovala jediná osoba a server furrici.info pouze způsobil rozšiřování pomluv o Fey, které za to poskytl jenom velice chabou omluvu (v tomto bodě jste také velmi zklamali). Jak jinak si vysvětlit, že bez toho, aby kdokoli z nás byl osobně kontaktován (pokud si samozvaný detektiv dal takovou práci s hledáním naší stránky, tak by pro něho byla jistě maličkost nalézt naše emaily) byla Fey obviněna z napadení Vašeho serveru?

Je až s podivem, že zrovna tento případ byl veřejně zveřejněn na fóru i s odsouzením “viníků” aby mohli být veřejně pranýřováni. Předpokládám, že Váš web musí být terč pokusů o SQL Injection a také ostatním bezpečnostním prověrkám vystaven několikrát do měsíce nebo mi snad chcete tvrdit, že toto byl první případ, kdy se to u Vás stalo? Jinak si nedovedu Vaši neprofesionalitu vysvětlit.

Tímto textem soukromě odsuzuji velmi neprofesionální přístup Vašeho serveru a stále čekám na omluvu v souvislosti se zveřejněním mých osobních údajů (IP a domény) nebo se Váš server domnívá, že takováto praktika je v pořádku? Jak dlouho bude trvat než začnete zveřejňovat nebo zneužívat IP adresy a hesla uživatelů Vašeho webu, kteří Vás nějak naštvou? Jak dlouho bude trvat než začnete zveřejňovat nebo zneužívat IP adresy a hesla všech uživatelů? Celkové Vaše chování vidím za velice zhoubné a nebezpečné a to hned v pěti bodech:
1) nedostatek snahy o vyšetření problému (nikdo nás předem nekontaktoval před zveřejněním obvinění)
2) veřejné obvinění nevinného člověka (obvinění Fey)
3) zveřejňování osobních údajů návštěvníka Vašich stránek (zveřejnění mých osobních údajů)
4) neschopnost urychleně napravit Vaše chyby (toto mohlo být vyřešeno daleko dříve, než se to začalo rozmazávat například na webu draci.info)
5) nedostatečná náprava Vašich chyb (omluva Fey byla velice chabá po tom co jste jí způsobili) a to, že já jsem nebyl kontaktován s jakýmkoli vysvětlením nebo omluvou

Dále bych chtěl říci, že kdybych Váš server skutečně chtěl nějak poškodit, tak bych to udělal a nikdy by jste nedozvěděli kdo to byl. To, že jsem veřejně pod svou snadno zjistitelnou identitou vyzkoušel SQL Injection několika POST a GET dotazy na Vaši stránku jenom dokazuje, že jsem neměl v úmysl Vás ani Váš web nijak poškodit a každému to snad muselo dojít. Já nemám zapotřebí poškozovat Váš nebo nějaký cizí web, vedla mě pouze touha zjistit pozornost Vašeho programátora (jakožto i jiných programátorů v jejichž dílech jsem SQL Injection zkoušel).

Na závěr bych chtěl dodat, že i když možná nesouhlasíte s tím, aby někdo prováděl SQL Injection na Vašich stránkách, nemůžete s tím nic dělat, Váš web jste veřejně vystavili a musíte počítat, že k němu bude přistupováno jako k veřejnému dílu. Tímto nechci říci, že má kdokoli právo Váš web poškodit, ale běžným testováním bezpečnosti není možné web poškodit natož aby na něm bylo něco škodlivého. Tímto Vás vyzývám pokud máte s tímto názorem nesouhlasíte, můžete mi to klidně napsat a můžeme se o tom pobavit, ale rozhodně Vás to neopravňuje k chování, které jste předvedli. Chvála bohu i přes všechny zákonné změny není na pokusech o SQL Injection rozhodně nic trestného a doufám, že ani nikdy nebude.

S pozdravem

eXander

Po prvním dopisu se Fey dostalo alespoň velice chabé omluvy zveřejněné na fóru serveru funici.info:

Omluva Fey
Tímto bych se rád jménem mým i serveru furrici.info veřejně omluvil Fey za obvinění z napadení serveru, ke kterému došlo z PC eXandra.

Nyní jsem již alespoň napadl celý server a ne jenom účet. A obvinění na Fey se stahuje, ač to že se server napadla ona je stále možné, alespoň tak na mě působí tato omluva.

Nejvtipnější na tomto incidentu je, že ve svém profilu na STM wiki jeden z autorů funici.info sám vyzývá k prověření bezpečnosti:

Uživatel:Tigu
Petr Holub
mail: [consored]@fel.cvut.cz
jabber: [censored]@gmail.com
Nyní jdu do druhého ročníku bakalářského studia na STM - obor Web a Multimédia - jsem z Jeseníku, takže celkem daleko do Prahy, ale tak jak tak jsem většinou v Praze - zajímám se o kočkovité šelmy (tema studia na druhe fakulte XD ) a momentélně pilně makám na porálu o nich - časem dodám i site :) - ale to až to budu mít trošku zpracované. P.S. Pokud by se našel někdo, kdo mi to pak proklepne po stránce bezpečnosti, velice rád se s ním domluvím a pošlu vše potřebné - je to moje první webová aplikace a chci aby to bylo bezpečné ^.^

Toto mě jen utvrzuje v tom začít chodit všude přes proxy, protože nikdy nevíte, který magor vezme Vaši IP adresu a pokusí se ji nějak zneužít.

Tímto tedy dávám na vědomí jak celý incident proběhl veřejně, protože ze strany serveru funici.info se mi nedostalo žádné reakce.

  • Posted by eXander in Other