HACK.pl wykryło krytyczną lukę serwerów home.pl

[zdzislaw]

Witam!

Na wstepie powiem iz jestem uzytkownikiem Home.pl od kilku lat (ma to pewne znaczenie odnosnie opisywanej sytuacji).
- Ja naprawde nie widze zadnej "luki" a tym bardziej "krytycznej". Po zalozeniu konta w Home.pl kazdy uzytkownik powinien zapoznac sie z Regulaminem oraz dokumentacja serwera, z ktorego bedzie korzystal. I jezeli ktos wykupil serwer w Home.pl, to po przeczytaniu dokumentacji jest swiadomy, ze statystyki znajduja sie w katalogu "stats..." i sa dostepne publicznie, chyba ze uzytkownik zalozy haslo chroniace ten katalog. Wiec ja sie pytam gdzie tu jest "luka" To ze ktos nie zabezpieczyl swojego serwisu i stosowal dostep do panelu administarcyjnego swojego serwisu w postaci "klopotliwej" nazwy pliku dostepnego publicznie w statystykach/logach, o ktorych (statystykach) istnieniu kazdy mogl sobie przeczytac w "Dokumentacji" dostepnej na stronie Home.pl to chyba nie jest wina/problem/blad Home.pl!
- Irytujace (i to bardzo) jest natomiast zachowanie serwisu Home.pl odnosnie "audytu wewnetrznego". Jezeli pradwa jest to co pisza przedstawiciele serwisu Hack.pl i Home.pl rzeczywiscie odpisalo "...Za pozno...luka jest już usunięta od 15 minut..." (alez jestesmy suuuper bo doszlismy do tego po logach - kiedy pierwszy raz przeczytalem o "audycie" na stronach Home.pl od razu sobie pomyslelem 'pewnie przegladali logi:-)') to jestem zbulwersowany tonem/malostkowoscia/dziecinnoscia takiej odpowiedzi i zaczne sie rozgladac za innym dostawca...

Pozdrawiam

Z.

[eMCe]

(...)
Ja naprawde nie widze zadnej "luki" a tym bardziej "krytycznej".
(...)
Wiec ja sie pytam gdzie tu jest "luka"
(...)
to chyba nie jest wina/problem/blad Home.pl!
(...)
"...Za pozno...luka jest już usunięta od 15 minut..."

bez komentarza..

pozatym jak jakiś Jan Kowalski kupuje sobie konto dla stronki firmowej i płaci za to niezłą kasę to liczy na bezpieczeństwo...
home.pl powinno zrobić juz dawno to co zrobiło po mailu Michałów...
a jak ktoś chce mieć logi na 'wierzchu" to niech sobie napisze kawałek kodu php i sobie je nawet na stronie głównej wstawi.. ale może Jan kowalski nie chce - bo płaci i ma być bezpieczny.. takie jest moje zdanie...

[killrathi]

pozatym jak jakiś Jan Kowalski kupuje sobie konto dla stronki firmowej i płaci za to niezłą kasę to liczy na bezpieczeństwo...
home.pl powinno zrobić juz dawno to co zrobiło po mailu Michałów...
a jak ktoś chce mieć logi na 'wierzchu" to niech sobie napisze kawałek kodu php i sobie je nawet na stronie głównej wstawi.. ale może Jan kowalski nie chce - bo płaci i ma być bezpieczny.. takie jest moje zdanie...

kupiłem niesamowicie bezpieczną kłódkę - mój rower jest już bezpieczny - nikt mi go z piwnicy nie ukradnie.... eeee, zaraz gdzie on jest czy zamknęłem kłódkę no przecież nikt mi nie mówił że trzeba... kupiłem kłódkę i miałem być bezpieczny... buuu i co ja teraz zrobię? - to jest historia Jana Kowalskiego...

a teraz historia Michałów:
- Ty Michał!!! patrz... ale numer ktoś nie zamknął piwnicy a w środku taaaki rower, bierzemy
- eee, nie, zadzwoń do kolesia, że jak fundnie nam browca to nikomu nie powiemy, że kłóka jest niezamknięta - my będziemy mieli browarka, a koleś czas na zamknięcie piwnicy...
minęła chwila
- policja a co się stało włamanie nie, nie, my z Michałem tylko patrzyli, my nic nie zrobili... szantażnie, nie - to była tylko przyjazna informacja... mamo!!!

te banalne i prymitywne historyjki idealnie opisują obecny bieg wydarzeń - i pozycję kowalskiego i pozycję Michałów - i teraz powiem coś kontrowersyjnego - mam cichą nadzieję, że dostaną w miarę wysoki wyrok - może to nauczy wreszcie bande dzieciaków, że do cudzych systemów nie pcha się łap bez zaproszenia, że to jest niebezpieczna zabawa...
a poza tym to wesołych świąt...

[zdzislaw]

a jak ktoś chce mieć logi na 'wierzchu" to niech sobie napisze kawałek kodu php i sobie je nawet na stronie głównej wstawi.. ale może Jan kowalski nie chce - bo płaci i ma być bezpieczny.. takie jest moje zdanie...

1. Jezeli Jan K. nie chce miec ogolnie dostepnych logow to niech sobie zalozy haslo na katalog ze statystykami - jakis problem! Kupujac konto na home.pl i czytajac dokumentacje jest to oczywiste (mam wrazenie ze kolega pisze sobie o sprawie a konta na Home.pl nie posiada).
2. Jezlei to byla luka to co jest teraz Jezeli katalog ze statystykami nazywal sie stat320 i byl dostepny publicznie to teraz jezeli sie nazywa "nazwa_katalogu" i jest w dalszym ciagu dostepny publicznie (jezeli uzytkownik serwera nie zalozy dla niego hasla), to "luka" jest nadal czy juz jej nie ma?
3. W moim serwisie mialem skrypty odwolujace sie do katalogu ze statystykami. Zanim przeczytalem o "cyberszantazu" zauwazylem ze cos niedobrego dzieje sie w moim serwisie - ze ze wzgledu na zmiany nazw katalogow skrypty nie dzialaly poprawnie od 02.04!! Dlaczego home.pl nie zawiadomilo uzytkownikow o zmianach? W moim przypadku to probelm w postaci braku danych za 6 ostatnie dni i potrzeba recznego naprawienia "niedzialania" skryptow w okresie swiatecznym!! To jest dopiero "luka" - brak informacji o zmianach!! Operator Home.pl na pytanie dlaczego nie poinformowano uzytkownikow o zmianach z przynajmniej 24h wyprzedzeniem odpisal "Bo byla zmiana oprogramowania serwerow".
4. Home.pl nie chce przywrocic dla mojego konta poprzedniej nazawy katalogu ze statystykami, co wymusi zmiane skryptow korzystajacych z tego katalogu - jasne ze to kilkanascie minut pracy - ale ktos to musi zrobic!!
5. Home.pl pisze na swoich stronach " ...wyniku audytu wykryto, że wskazana 'krytyczna' luka dotyczy dostępu do statystyk oglądalności i logów serwerów wirtualnych, które domyślnie są zabezpieczone przed dostepem z zewnątrz. " Domyslnie Ojejku... jezeli na swoim serwerze chce przechoywac hasla i zapisze jest w katalogu publicznym hasla1234 w pliku index.htm to beda one domyslnie zabezpieczone!!
6. Hack.pl pisze na swoich stronach o funkcjonalnosci serwera, ktora nazywa "luka" w nastepujacy sposob: "krytyczna luka w bezpieczeństwie serwerów dotycząca wszystkich kont wirtualnych na home.pl". Czy aby na pewno A jezeli ktos sobie na katalog z logami zalozyl haslo, to co To nalezaloby napisac raczej: "funkcjonalnosc publiczbego dostepu do logow serwerów dotycząca kont niezabezpieczonych przez uzytkownikow na home.pl..."

Z.

[eMCe]

for killrathi:

sytuacja wygląda tak:
znajduje rower kumpla który nie zamknął kłótki..
idę mu o tym powiedzieć...
i mówię ze browca to ja mu zamknę kłótkę..

for zdzislaw - jak widzisz nawet home.pl nazwało to luką i w panice zmienili obecną konfigurację...

teraz spójrz na to z tej strony - dzięki temu można poznać strukturę plików na serwerze... ok można i bez tego (atak brute force po http - i jedziemy pliki od aa...a.html po zz...z.html - z tym ze prościej i szybciej jest zlamać 3 cyferki niż 14 literek poznanie takiej struktury w wielu przypadkach umożliwia lub ułatwia dotarcie do informacji poszukiwanej przez crackerów) - oczywiście samo poznanie struktury plików nic włamywaczowi nie da jeśli aplikacja działająca na serwerze nie jest podatna na ataki xss ani sql injenction a wszystko trzymamy w bazie to jest ok..
Przyznaję Ci również całkowitą rację jeśli chodzi o to że za ewentualne włamania nie można winić home.pl - bo to wina programistów piszących aplikację która działała na tym serverze... niemniej jednak uważam że co najmniej rozsądniejszą konfiguracją była by taka w której to domyślnie katalog jest zabezpieczony hasłem... okazja czyni złodzieja...

Ale nie wiem czy zauważyłeś ze ja w swoich wypowiedziach nie skupiam się na tym jakie możliwości dawał błąd i czy błąd ze strony home.pl czy też nie a na tym że żadnego szantażu nie było oraz na tym jak niedojrzałe, pochopne i nieprzemyślane decyzje podejmuje szczecińska firma hostingowa...

[zdzislaw]

for zdzislaw - jak widzisz nawet home.pl nazwało to luką i w panice zmienili obecną konfigurację...
(...)
niemniej jednak uważam że co najmniej rozsądniejszą konfiguracją była by taka w której to domyślnie katalog jest zabezpieczony hasłem... okazja czyni złodzieja...
(...)
na tym że żadnego szantażu nie było oraz na tym jak niedojrzałe, pochopne i nieprzemyślane decyzje podejmuje szczecińska firma hostingowa...

1. Zgadzam sie!!! Panika to malo powiedziane! Minelo juz 6 dni od panicznych zmian a Oni nawet nie raczyli poinformowac uzytkownikow o "panicznych" zmianach. Ja dopiero dzis spostrzeglem ze mam kaszane w skryptach po zmianach nazwy katalogu. I to mnie doprowadzilo do pasji!! Olewanie klienta totalne. Ciekawe ilu jeszcze uztkownikow nie jest swiadomych problemow jakie wywolala w ich skryptach ta zmiana jezeli ich skrypty korzystaly z danych, ktore znajdowaly sie w tym katalogu (dotyczy to oczywiscie takze osob ktore zabezpieczyly haslem ten katalog - albowiem on teraz sie juz pewnei inaczej nazywa) - to bomba z opoznionym zaplonem. Zloze reklamacje - zobaczymy co odpisza, bo to co "napsiano" mi na czacie z obsluga techniczna to kpina.
2. Zgadzam sie ze rozsadniejsza bylaby konfiguracja z haslem na katalogu domyslnie. Pewnie 90% nie czyta dokumentacji od deski do deski i nie miala o tym pojecia. Ale... spsoob zakladania hasla na ten katalog jest i tak dosyc skomplikowany (a moze nie ).
3. Coz, jezlei chodzi o szantaz to subietktywnie przyznaje Panu racje. A reakcje Home.pl (szczegolnie "audyt" = "poogladalismy logi" rozsmieszyl mnie) traktuje jak zachowanie 4-latka, ktoremu ktos zwrocil uwage. Tu potrzebna bylaby SuperNiania a nie organa.
Reasumujac. Zawiodlem sie na Home.pl.
Rozczarowalem sie Hack.pl - taie listy trzeba bylo pisac do uzytkownikow serwerow, ktore nie zabezpieczyly sie odpowiednio. Dalej twierdze, ze "luka krytyczna" to zwykla funkcjonalnosc serwera, ktora moze stac sie grozna dopiero jezeli ktos z XXX-u napisze CMS-a.

ps.
Skonczylem reperowac skrypty. Wracam do rodzinki.
Zycze spokojnych Swiat

[ConayR]

Przeczytałem jedynie pierwsze 3 strony dyskusji, więc być może to, co napiszę było już poruszane.

Zabawne wydaje mi się ruganie homePL za ujawnienie "prywatnej korespondencji". Ta "prywatna korespondencja" dotyczyła homePL i homePL jako strona dyskusji oraz przedmiot dyskusji ma prawo z tą korespondencją zrobić to, co uważa za właściwe.

Czy jeśli ktoś w "prywatnej korespondencji" do kogoś z Was napisze, że zamierza zabić odbiorcę listu, to ta "prywatna korespondencja" nie może zostać ujawniona? A czy jeśli potencjalny zabójca napisze "ale niekomu o tym nie mów" to ta "prywatna korespondencja" jest jeszcze bardziej prywatna i złamanie tej klauzuli sprawia, że wszelkie próby obrony są moralnie naganne? Nie.

Być może przekazanie informacji hackingPL nie było najrozsądniejszym wyjściem, ale homePL ma prawo do udostępnienia informacji prasie, jeśli nie wierzy w skuteczność prokuratury lub jeśli nie chce podejmować kroków prawnych przeciw hackPL. Zdaje się, że większość nie zauważa tego jak homePL uratowało tyłek autorom (?) znaleziska. Absurdalna "propozycja" mogła się skończyć wyłącznie w sądzie albo poprzez sprowadzenie "propozycji" do absurdu. Stało się to drugie a tym samym hackPL tak naprawdę nie ucierpiało znacznie.

Trochę jaśniej: czy hackPL ucierpiało? Może. Autorzy nie zarobili pieniędzy i nie dostali laurów. Tyle że ta część jest efektem ich głupiej propozycji z cyklu: pieniądze albo życie; ewentualnie możemy negocjować. Niepoważna propozycja okraszona chwiejnością stanowiska hackPL (propozycja absurdalnej kwoty i negocjacji tejże świadczy o słabym przekonaniu do składanej propozycji) - trudno tu mieć pretencje do kogoś innego niż do siebie, prawda? Czy wizerunek hackPL ucierpiał? Z pewnością. A hackingPL? Też. A homePL? Również. Każdemu po równo wedle zasług.

Może następnym razem wycena luki będzie bardziej trafna.

[eMCe]

proponuję przeczytać wszystkie powyższe posty...
Jak dla mnie Twoje rozumowanie sytuacji oraz podane przykłady są co najmniej niewłaściwe...

[Malik]

Przeczytałem jedynie pierwsze 3 strony dyskusji, więc być może to, co napiszę było już poruszane.

Zabawne wydaje mi się ruganie homePL za ujawnienie "prywatnej korespondencji". Ta "prywatna korespondencja" dotyczyła homePL i homePL jako strona dyskusji oraz przedmiot dyskusji ma prawo z tą korespondencją zrobić to, co uważa za właściwe.

Czy jeśli ktoś w "prywatnej korespondencji" do kogoś z Was napisze, że zamierza zabić odbiorcę listu, to ta "prywatna korespondencja" nie może zostać ujawniona? A czy jeśli potencjalny zabójca napisze "ale niekomu o tym nie mów" to ta "prywatna korespondencja" jest jeszcze bardziej prywatna i złamanie tej klauzuli sprawia, że wszelkie próby obrony są moralnie naganne? Nie.

Być może przekazanie informacji hackingPL nie było najrozsądniejszym wyjściem, ale homePL ma prawo do udostępnienia informacji prasie, jeśli nie wierzy w skuteczność prokuratury lub jeśli nie chce podejmować kroków prawnych przeciw hackPL. Zdaje się, że większość nie zauważa tego jak homePL uratowało tyłek autorom (?) znaleziska. Absurdalna "propozycja" mogła się skończyć wyłącznie w sądzie albo poprzez sprowadzenie "propozycji" do absurdu. Stało się to drugie a tym samym hackPL tak naprawdę nie ucierpiało znacznie.

Trochę jaśniej: czy hackPL ucierpiało? Może. Autorzy nie zarobili pieniędzy i nie dostali laurów. Tyle że ta część jest efektem ich głupiej propozycji z cyklu: pieniądze albo życie; ewentualnie możemy negocjować. Niepoważna propozycja okraszona chwiejnością stanowiska hackPL (propozycja absurdalnej kwoty i negocjacji tejże świadczy o słabym przekonaniu do składanej propozycji) - trudno tu mieć pretencje do kogoś innego niż do siebie, prawda? Czy wizerunek hackPL ucierpiał? Z pewnością. A hackingPL? Też. A homePL? Również. Każdemu po równo wedle zasług.

Może następnym razem wycena luki będzie bardziej trafna.

Jak dla mnie opublikowanie samej wiadomosci email ma wartosc zerowa i mozna podwazyc wiarygodnosc maila. Panowie z home.pl zapomnieliscie o naglowkach, przydalyby sie tez logi z smtp z ktorego wyslany zostal mail.

[ghackerek]

Mnie zastanawia dlaczego home.pl zdecydowało umiescic informacje w hacking.pl ?

Tak pozatym to śmieszna sprawa.

To na ile sie w koncu hack.pl wycenił 200 czy 200 000 zł
Jaki jest dalszy los całej niby afery ?