Egy névtelenségbe burkolózó olvasónk hívta fel a figyelmünket arra, hogy súlyos biztonsági hiba van az oldalon. A hiba kihasználásával a teljes adatbázis hozzáférhető, nem csak a webmail.
A hiba nem az alap front-end kódban van, hanem az Independenc-en megtalálható felhasználók képfeltöltési rendszerében. Az sql injection-t kihasználva könnyűszerrel kiolvasható bármely tábla tartalma.
Egy biztonsági szakértővel megosztottuk az információt, ő is azt mondta, hogy ez igen kritikus hiba, a felhasználók jelszavaihoz is hozzá lehet férni. Bár a jelszavak titkosítva vannak (md5), az egyszerűbb jelszavak már elég könnyen és hatásoson törhetőek. Éppen ezért ajánlott a jelszó megváltoztatása, nem csak az Indepen, hanem más weboldalon is, ahol esetleg ezzel az emailcímmel és jelszóval szerepel.
Idézet Feree-től, az Indep tulajától.
” Az indep.eu adatbazisahoz (tehat ahol a userek vannak, torrent
fajlok, es egyeb szokasos tablak, azokhoz nem fertek hozza, tehat nagy
problema nem tortent, hamar javitottuk a hibat, csak a maillel tortent
egy kis gubanc, de mar semmi gaz”
Ez a kijelentés valószínűleg messze áll a valóságtól. A tegnapi RoundCube hiba is igen komoly, gyakorlatilag shell-t lehet vele szerezni a gépre. Nagy valószínűséggel sikeresen hozzáférhettek a tracker bármelyik részéhez, ideértve a teljes adatbázist. Az itt prezentált sebezhetőség pedig ismét igen komoly, szintén hozzáférhetővé teszi a teljes Independence adatbázist a támadóknak.
Demonstrációs képek:
(a tulajdonos által feltöltött képek)
(egy user emailcíme és a jelszó hash)
Az asva.info elhatárolódik bármilyen oldalfeltöréstől. A kódot nem hozzuk nyilvánosságra, ezt senki ne kérje. A cikk nem az Indepence lejáratása miatt készül, hanem azért, hogy a felhasználók tudjanak az esetről, és időben lépjenek.
A technikai tanácsadásért hatalmas köszönet Buherátor-nak.
január 3, 2009 at 21:18 du.
Én irtam fereenek hogy töröljön ki ki is törölt xD
január 3, 2009 at 21:49 du.
Nah, ezzel már nekem nem lesz gondom, acc törölve 😛
Most biztos az jön a spam hegyek, aztán 2 hét múlva lecseng.
Mióta indipendencen fennt voltam 3x annyit kaptam, mint előtte. Ezzel lett tele a f@szom.
Meg azzal h minden fent van 325ször, de sose találtam semmit ami érdekelt.
január 3, 2009 at 21:53 du.
Nem értem, hogy miért épp azon vagytok fennakadva, hogy nem működik az account törlés. Az oldal egyik célja az, hogy minél több működő email cimet adjanak meg az átverhető felhasználók. Aztán persze döl a spam… és hiába írják, hogy le lehet iratkozni; érdekes módon az a link sem működik…
január 3, 2009 at 22:06 du.
A legegyszerűbb módja h a fórumban elkezded fikázni az oldalt és kéred, h töröljenek, lehetőleg a “moderátorok figyelmébe” (vagy valami hasonló neve van) topicba.
Nekem bejött 😀
január 3, 2009 at 22:07 du.
Azzal, hogy bannoltak bent maradhattak az adataim a DB-ben?
január 3, 2009 at 22:13 du.
Persze hogy bent marad!
január 3, 2009 at 22:15 du.
Bent, mert akkor mi alapján tudnák, h bannolva vagy?
január 3, 2009 at 23:06 du.
Chamea: egy _sql injection_ aprosag? O_O tipikusan olyan hiba, ami figyelmetlensegbol vagy hozzanemertesbol adodik. szerintem igencsak _sulyos hiba_, attol fuggetlenul, milyen meretu oldalon van jelen. csupan etika kerdese kihasznalni, vagy sem..
január 3, 2009 at 23:16 du.
SQL Inject + hol, ezek után nem nehéz kitalálni hogy mit hogyan kell csinálni szerintem.. 🙂
január 3, 2009 at 23:55 du.
Hát igen, így jár az aki microsoft operációs rendszer alatt MS SQL-el próbálkozik. Ilyen hiba figyelmetlenség? Szerintem az, aki működtette az oldalt, pont épp olyan volt, aki nagyot akart kaszállni a támogatásokból beruházás nélkül, pont az ilyenek fikázzák az ncore-t, a bh-t meg moobsot. Gyerekek, egy szerver üzemeltetéséhez fel kellene nőni, az nem kevés pénz. Nem abból áll ez, hogy a BIX-be bedobok egy ms xp-vel és egy ms sql-el, meg egy rátelepített php apache webszerver emulációval egy gépet és kész. Pont ezért kell az ncore-n is az adminoknak beruházniuk. Ezek azok a kiadások még mindig kedves Feree, amiket mindenképp bele kell fektetni, első a beruházás. Ezt nem tudtad? Még mindig az az álláspontom, hogy egy piti kis pocs szórakozik veletek, aki nevet rajtatok, a nem hozzáértésetekből milyen hibákat tudtok produkálni. Nem lehúzás a nyereményjáték meg a támogatás a nagyobb oldalakon, hanem beruházás, pont az ilyenek kiküszöbölésére, mert egy biztonságosabb rendszer kiépítése is rengetegbe kerül. Linux programozó sem dolgozik ingyen, windows alatt meg ilyet üzemeltetni MS sql-el életveszély.
január 4, 2009 at 0:18 de.
Meg bocsi, nem akarok pánikot kelteni, de Feree is iszonyú mélyen elgondolkozhatna azon és ez nem vicc, hogy mi van olyankor, ha mondjuk a szemét ProArt igazgató Úrának drágalátos kirendelt szakértője fér hozzá az éppen futó torrentek scrape adatbázisához? Ez azt jelentette volna, hogy ott a bizonyíték: az éppen futó torrentek IP táblájáról biztonsági másolat készül és mindenki bajba kerül, aki éppen töltöged meg esetleg az is, aki töltögetett. El kellene gondolkozni, hogy mekkora veszélynek voltatok kitéve. Ezzel nem a pánikkeltés volt a célom, de ez valóban kritikusan súlyos hiba volt egy tracker üzemeltetőjétől.
január 4, 2009 at 0:22 de.
Még 1x hogyan tudom magam törölni Independence-ről??? (ne cenzúrázzátok ki!)
január 4, 2009 at 1:11 de.
szopas 😀
pedig Stageline ert a dolgokhoz…
január 4, 2009 at 1:24 de.
Egy barátom fogalmazott így: Ami nem törhető, nem létezik 🙂
január 4, 2009 at 1:34 de.
fú mennyi önjelölt biztonsági szakértő commentel itt
január 4, 2009 at 2:03 de.
😀
január 4, 2009 at 2:07 de.
@Chamea: LOL. Nem tunt meg fel neked hogy oket ezek a szervezetek messzire elkerulik? 😀 Vajon miert..
január 4, 2009 at 2:10 de.
Chamea: Nem tunt meg fel hogy oda soha nem mennek ki a hatosagi szervek? Gondolkodj mar el hogy miert nem.
január 4, 2009 at 3:37 de.
Chamea: amit mondasz annak van valosagalapja, de Ferko mar sok-sok kilometernyi faszt vegigszopott ahhoz (Baja tartotta a gyertyat aztan csereltek), hogy ne basztassak oket a szervek…
január 4, 2009 at 7:58 de.
Chamea: Te ritka nagy balfasz vagy. Egy sql injectionnek mi köze van a windowshoz vagy az mssql-hez? Azon is jót röhögtem, hogy ezeket életveszély használni:))) És még te beszélsz hozzánemértésről….
Ja és az általad említett összes oldalba van hiba, illetve az ncore-on nem tudom hogy még van e, de hónapokig kihasználható volt.
ui.: semmi közöm az indep-hez, csak felbasz az okoskodásod.
január 4, 2009 at 8:08 de.
Torhetosegrol osztom a magyar katonai elharitas velemenyet : a hackvedelem az a 10 centi ami akozott a 2 gep kozott van ami kozott flopizzak az adatot a belso halo es az internet kozott 😉 Szal el kell fogadni hogy amit ember alkotott az torheto / el tud romlani megesik mindenkivel szal ez a topic ertelmetlen , max torekedni lehet a kivedesere nem 100% meggatolni. Es meg 2 gondolat :
– Aki azt allitja, hogy meg nem tortek meg a vasat/cuccat soha, az nem ismeri a sajat rendszeret.
– Akit megis megtornek nemfogja mellet dongetve hirdetni, hogy “igen megtortek, egy szar vagyok!” 🙂
január 4, 2009 at 9:04 de.
minden törhető, csak az nem mindegy, hogy ki és mennyi ember számára 🙂
január 4, 2009 at 9:06 de.
@Chamea: te egy számtech középiskolában vagy 9.-es?? Mert az IT tudásod kb. ezt mutatja… 😉
január 4, 2009 at 9:50 de.
“Chamea: Te ritka nagy balfasz vagy. Egy sql injectionnek mi köze van a windowshoz vagy az mssql-hez? Azon is jót röhögtem, hogy ezeket életveszély használni:))) És még te beszélsz hozzánemértésről….
Ja és az általad említett összes oldalba van hiba, illetve az ncore-on nem tudom hogy még van e, de hónapokig kihasználható volt.
ui.: semmi közöm az indep-hez, csak felbasz az okoskodásod.”
Korulbelul en is ezt akartam beirni :-DDD
január 4, 2009 at 10:35 de.
@Chamea: Szerinted melyik állami szerv használhat illegálisan (sql injection-al) szerzett bizonyítékot?? pff…
január 4, 2009 at 10:36 de.
Hi mindenkinek. 🙂 Kérdésem. A 1sttorrent sem működik már legalább három napja. Arról az oldalról ti mit tudtok??? Azt is feltörték?
január 4, 2009 at 11:07 de.
Nekem megy
http://www.1sttorrent.ath.cx
január 4, 2009 at 11:16 de.
A 1st-t az elmúlt három napban is ment és most is megy… Nálad/szolgáltatódnál lehet a hiba oka…
január 4, 2009 at 11:19 de.
WeltOK:
# first.file.am
# first.cache.me
# 1sttorrent.ath.cx
# 1sttorrent.selfip.info
január 4, 2009 at 11:23 de.
1st-nek kéne már egy normális domain, mondjuk egy .biz tld nem ártana…
1st.biz ;]
január 4, 2009 at 11:32 de.
Hümm, ez a kedves névtelenségbe burkolózó, mért az ASVA.info-nak szól, mi ez valami biztonsági portál?? Rettenetes… Feltörhető egy tini-torrent.
január 4, 2009 at 11:53 de.
Köszi mindenkinek. 😀
január 4, 2009 at 12:02 du.
Hi Mégegyszer Jó ez az asva.info-s oldal. Rájöttem hogy, nem tudok semmit a netes biztonságtechnikáról.
Fölvettem a könyvjelzők közé. 😀 Lehet itt okulni.
Boldog Új Évet Mindenkinek. 🙂
január 4, 2009 at 12:28 du.
@Override, csak tájékoztatlak, hogy a BSA ott tart a hatóságokkal, hogy rendel tőled, megcsinálod illegálisan a számítógépét, majd fizet neked, utána meg jön a rendőrökkel. Az az ember, akit a kormány hatósági szervei bíztak meg valamivel, azok bármit megcsinálhatnak. Nagyon tévedésben vagy, a ProArt a kirendelt szakértőjével a DC hubról töltögetett, mint az atomnyuszi és jelentgette fel a felhasználókat. -> “@Chamea: Szerinted melyik állami szerv használhat illegálisan (sql injection-al) szerzett bizonyítékot?? pff…”
@BoNo, @Klarybaba , én nem azt írtam, hogy ő kerülhet bajba, hanem mi, mint kis halak. Ránk is ránk szállhat a hatóság, sajnos.
január 4, 2009 at 13:05 du.
@Chamea : te itt is ugyanannyi marhasagot hordasz ossze mint a Top10 cikkbe . . .
január 4, 2009 at 13:11 du.
@Chamea: nehez elmenni melletted.
Sok okorseget hoztal ossze szakmai oldalrol(olvass mar utana, hogy mijaza sql injection, az osszes sql servernel letezhet, nem rajta mulik, ms fejlesztokben a fele haladnak, hogy programozasi nyelv szinten legyenek az sql utasitasok is, es igy mindent szepen at ad, nem tudod tamadni), amit utana irsz annak nehezen adok hitelt a korabbiak miatt. Nem szivesen mennek bele, hogy BSA/asva/PRoart es tarsai miket csinalhatnak, mert ezek csak talalgatasok maradnanak.
Megjegyeznem azt is, mivel apachet hasznalsz valami sqllel, aztan tok mind1, hogy az milyen platformon van, nem talalkoztam meg phpnal platform specifikus hibaval. De talalkoztam 40millio forintos ugyviteli rendszerrel, amit windows xp/oracle -re akartak folrakni.
január 4, 2009 at 13:30 du.
Tudnék még mondani olyan magyar (népszerű) torrent-oldalt, amiben ugyanúgy van SQL injection-re lehetőség. Ilyenek voltak, vannak, és lesznek. Ettől komolyabb CMS-ekben is előfordult már, igaz ettől Feree-t nem szeretjük jobban:)
január 4, 2009 at 13:36 du.
Majd elfelejtettem:
Magában az XBT Tracker-ben is került már elő ismert sebezhetőség.
január 4, 2009 at 13:58 du.
@sz nem igazán maradnának találgatások, mert én pontosan tudom, hogy mit csinálhatnak, mert az egyik haverom osztálytársa BSA-s és elmondta, mihez van joguk és mihez nem. Meg már az ismerőseim között is volt, aki megszívta, hogy az, akinek eladott valamit az egyik ismerősöm, beépített ember volt. Nyugodtan kémkedhetnek utánad, a törvény nem tiltja, hogy a hatóságokkal együttműködjenek, mert azért van a szervezet.
január 4, 2009 at 14:02 du.
@pistv, te meg egyértelműen támadod az ncore staffját. Ezt nem ide kellene kihozni, hanem talán az ncore-n belül kellene neki pm-et dobni és tisztázni a nézeteltéréseiteket, mert a hozzászólásaid nem független hozzászólások. Arra, hogy mi a véleményed az ncore adminjairól meg staffjairól illetve moderátorairól, arra abszolút de senki sem kíváncsi itt az oldalon, elhiszed?
január 4, 2009 at 14:04 du.
Chamea te flúgos vagy tesókám 🙂 de van benne valami
január 4, 2009 at 14:16 du.
@Chamea: “Egyik haverom osztálytársa BSA-s….” jah nálunk az oviban is toboroztak… pff….
Egyébként amit írtál azt úgy hívják, hogy próbavásárlás és teljesen legális, az SQL injection viszont nem az, ugyanis azt sem tudod ilyenkor garantálni, hogy honnan szerezted az infót, ugyanis írhatnék én olyan alkalmazást ami figyeli a get-ből, post-ból (UI-ról) érkező változókat és ha van benne ‘ vagy ” vagy 1=1 akkor egy kamu listát adok vissza, ezt vajon a haverod BSA-s osztálytársa hogy fogja bizonyítani???
január 4, 2009 at 14:24 du.
Nekem 2008-ban 7x volt “problémám” rendősrséggel, abból 2 személyes látogatás volt.
Pedig voltak szerzői jogokkal is probléma, és mégse az ASVA vagy a BSA jött. o_O
Ezt egy kicsit érdekesnek tartottam, helyette a 22. kerület rendőrségről jöttek…
Most ezt nemtudom miért írtam le, ide se tartozik xD
január 4, 2009 at 14:29 du.
@Everest, az amit leírtál, az nem teljesen valós. Ezek a folyamatok úgy működnek, hogy a szoftverforgalmazó cég egyik alkalmazottja, aki tagja a BSA-nak(pl Adobe), hozzájut egy torrent acchoz valamilyen úton->maga a cég továbbítja a BSA felé->BSA továbbítja vizsgálat után a rendőrség felé, azzal a fényképpel, amivel igazolják, hogy az illegális anyag ott van, kint a letölthető torrentek között és egyúttal együttműködési kérelmet nyújtanak be a hatóság felé az informatikai szakértőjükről, hogy legális próbaletöltést tarthassanak->rendőrség vizsgálat után, miután megállapította, hogy fent van a torrent, és feltételezhetően illegális anyag cseréje folyik illegálisan(Mivel a szoftver le és feltöltése egyaránt bűncselekmény a mai törvények szerint), megküldi az erre való PARANCSOT->A szakértő letölti a torrentet és közben rögzíti az IP-ket, egyúttal megállapítja, hogy valóban illegális anyag van megosztva, de csak azok IP-it látja, akik éppen hozzá vannak csatlakozva, azokét nem, akik a peerguardiant használják. Na most, ha hozzáfér a Scrape adatokhoz, azokét is látja a rendőrpalotából, akik peerguardiant használnak, vagy valamilyen utómódon nem tudtak hozzá csatlakozni, sőt, még azt is, hogy kik töltötték le a torrentet. Ez elég bizonyíték bűncselekmény esetén, de te csak filozofálgass nyugodtan!
január 4, 2009 at 14:30 du.
k0cka: mivel vívtad ki a “szimpátiájukat”, ha nem titok?
január 4, 2009 at 14:41 du.
k0cka, pontosan ezt írom itt már időtlen idők óta: nem maga a szervezet jön, hanem a rendőrség, ha kijön valaki, az IP vizsgálat is a rendőrség “keze alatt” történik, a szakértőt te nem is látod, csak azt hallod, hogy már kopogtatnak.Bűncselekmény esetén felvétel készül, hogy miként jutottak hozzá az IP címekhez, amit a bíróságon be is mutatnak, de ehhez engedélyt kell kérni a rendőrkapitánytól, így nem a rendőrök húzzák az SQL injection-nál a rövidebbet, mert a munkájukhoz volt rá szükség, meg a bizonyításhoz, egy bűneset elkövetőinek a kilétének megállapításához.
január 4, 2009 at 14:50 du.
Na pontosan ezért szeretném magam az indepről törölni!!!
január 4, 2009 at 14:50 du.
Túl okos volt.
január 4, 2009 at 14:52 du.
Egy jó tanács: Mindig használjatok proxy-t!! És egyik barátjelölgetős oldalon se legyetek fennt, még álnévvel se. (Nemhiába lettem oFFline iwiw-en ill. myvip-en!
január 4, 2009 at 15:01 du.
k0cka, köszi, ez tényleg jó tanács, ebben igazad van, az iwiw az tudom, hogy veszélyes, az apeh benne van több néven és kutakodik a felhasználók között. Ha valaki nem hiszi, google-ba üsse be: IWIW apeh, és nézze meg a találatokat! A proxy is csak annyit ér, mint egy jókora fing a szélviharban, mert abban is rengeteg a jogvédői érdekeltség, nem hiába blokkolja a peerguardian valamennyit.
Az emule, ami nem nagyon akar magyarok között elterjedni, nem tudom, hogy miért, és miért nem indulnak magyar szerverek hozzá, az nem egy rossz dolog anonimitás céljából. Amerikában sem nagyon akar az elterjedni.