Jak zaoferować unikalną wiedzę czyli Home.pl vs Hack.pl

Ponoć w społeczeństwie informacyjnym informacja zyskała szczególną wartość. Tylko co nam po takiej wartości, skoro nie można zaoferować swojej wiedzy odpłatnie? Wiele zależy od tego jak się taką ofertę sformułuje i przekaże potencjalnie zainteresowanemu. Po niedawnych doniesieniach o zatrzymaniu jednego z takich "oferentów" (por. Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki) jest kolejne zamieszanie - tym razem dotyczące Home.pl. Tym razem mówi się o udziale ABW w związku z tym, że przykładem wykorzystania luki stał się serwis Ministerstwa Edukacji Narodowej...

Jeśli prawdą jest opis błędów, było tak: poznając losowo wygenerowane trzy cyfry w dostępnym dla wszystkich adresie katalogu (nazwa_konta.home.pl/statsXXX, gdzie XXX to właśnie te cyfry) można było przeglądać bez jakiejkolwiek autoryzacji logi serwera. Zamiast zgadywać jakie to cyfry można było posłużyć się skryptem, który sprawdzał istnienie (lub nieistnienie) katalogu zawierającego w adresie cyfry od 100 do 999. Proste. W logach Home.pl zaś można było znaleźć wywołania aplikacji webowej phpmyadmin, a dzięki nim poznać strukturę tabel baz danych SQL. Dzięki logom można było też dotrzeć do innych danych, takich jak nazwy plików, katalogów, etc. Te wszystkie informacje odkryli współpracownicy Hack.pl. Cóż z tym zatem zrobić? Można poinformować providera o lukach, można też spróbować spieniężyć wiedzę...

Zamieszanie zaczęło się od listu, który podpisany był przez dwóch współpracowników Hack.pl:

Znalaźliśmy poważną lukę Państwa serwerów. Ma ona charakter krytyczny.
Jesteśmy przekonani, że może być wykorzystana na wiele sposobów przez ew. napastników.

Chcieliśmy z góry zauważyć, że piszemy do Państwa w celu informacyjnym i naszym zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z prawem.

Wstępnie myśleliśmy tylko o napisaniu o błędzie na łamach HACK.pl, a także o udostępnieniu zacieniowanych dowodów, które jednak nie pozwoliłyby na wykorzystanie błędu.

Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.

Koszt informacji szacujemy wstępnie na 200,000 złotych, cena - oczywiście - podlega negocjacji. Być może bylibyśmy zainteresowani współpracą z Wami na zasadach partnerskich, czy też reklamą w home.pl.

Jesteśmy otwarci na propozycje, oferujemy audyt bezpieczeństwa. Mamy nadzieję, że wspólnie uda nam się wyeliminować ten i podobne niedociągnięcia.

Z poważaniem.

Ludzie z Home.pl uznali, że ma miejsce próba szantażu. Po krótkich negocjacjach (gdzie mowa była o sądzie i prokuraturze) Hack.pl ujawnił Home.pl wykryte błędy. Jak wynika z tekstu opublikowanego w serwisie Hacking.pl pt. Hack.pl: za 200.000 zł nie napiszemy o Waszej luce w systemie: "Administracja Home.pl wykryła i zpatchowała usterkę zanim redakcja hack.pl zdecydowała się opisać im swoje rewelacje". Jednocześnie na Hack.pl pojawiło się oświadczenie. Poza tym, że zdaniem Hack.pl administratorzy serwerów home.pl nieuczciwie przypisali sobie wykrycie luki, czytamy tam m.in. również:

O luce w serwerach home.pl poinformowaliśmy w celach informacyjnych, równocześnie proponując pomoc. Wynika to bezpośrednio z treści korespondencji, która została wymieniona pomiędzy HACK.pl a home.pl. Z korespondencji jasno wynika, że złożyliśmy propozycję dla home.pl dotyczącą ujawnienia informacji, którymi tenże serwis mógłby być zainteresowany. O szantażu nie może być mowy. Co więcej, z treści wiadomości, które otrzymali Przedstawiciele home.pl, wynika jasno i klarownie, że zwróciliśmy się w celu zaoferowania pomocy.

Tymczasem sprawa może mieć ciąg dalszy. W tym samym oświadczeniu pokazano bowiem przykład wykorzystania odkrytej luki - uzyskując (pytanie czy faktycznie doszło do przełamania zabezpieczeń?) dostęp do panelu administracyjnego hostowanego w Home.pl serwisu internetowego Ministerstwa Edukacji Narodowej.

panel administracyjny MEN
"W tym momencie mogłem przerobić obecny już artykuł na stronie, podmienić zdjęcia, napisać cokolwiek bym chciał, aby ukazało się na oficjalnej stronie Ministerstwa Edukacji Narodowej, które zdecydowało się hostować swoją stronę na home.pl" - pisze w oświadczeniu Michał Semeniuk z Hack.pl

Gazeta.pl w tekście Szantażyści złamali zabezpieczenia strony MEN przywołuje taki fragment rzeczywistości:

(...)
- To zwykły szantaż i próba wymuszenia - mówi Jurczyk [Stefan Jurczyk, szef home.pl - dopisek mój PW]. - O całej sprawie powiadomiliśmy policję, a dziś z pełną dokumentacją idę zgłosić to do prokuratury.

Stronę z instrukcją włamania się do systemu home.pl i na stronę MEN pokazaliśmy szczecińskim informatykom. Twierdzą że skutki działalności hakerów mogły być poważniejsze niż to wynika z zapewnień home.pl.

Ponieważ włamano się do instytucji państwowej (MEN) sporawą zajęła się też ABW.
(...)

No i co? Informacja ma, czy też nie ma ekonomicznej wartości w społeczeństwie informacyjnym? W dyskusji podniesiono argument szantażu, albo też groźby bezprawnej.

Art. 190. Kodeksu Karnego
§ 1. Kto grozi innej osobie popełnieniem przestępstwa na jej szkodę lub szkodę osoby najbliższej, jeżeli groźba wzbudza w zagrożonym uzasadnioną obawę, że będzie spełniona, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2.

§ 2. Ściganie następuje na wniosek pokrzywdzonego.

Art. 191.
§ 1. Kto stosuje przemoc wobec osoby lub groźbę bezprawną w celu zmuszenia innej osoby do określonego działania, zaniechania lub znoszenia, podlega karze pozbawienia wolności do lat 3.

§ 2. Jeżeli sprawca działa w sposób określony w § 1 w celu wymuszenia zwrotu wierzytelności, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Konstrukcja przestępstwa nazywanego "hackingiem" wymaga przełamania zabezpieczeń:

Art. 267. Kodeksu Karnego
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.

§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.

§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

Czy doszło do przełamania zabezpieczeń, jeśli do zapoznania się z informacjami pozwalającymi na dostęp do administracyjnego panelu trzeba było trafić na trzy losowe cyfry i analizować dostępne już bez żadnych restrykcji logi systemu?

A czy jeśli można by mówić o przestępstwie "hackingu", to czy też można mówić o pomocnictwie w jego dokonaniu?

Art. 18 Kodeksu Karnego
§ 3. Odpowiada za pomocnictwo, kto w zamiarze, aby inna osoba dokonała czynu zabronionego, swoim zachowaniem ułatwia jego popełnienie, w szczególności dostarczając narzędzie, środek przewozu, udzielając rady lub informacji; odpowiada za pomocnictwo także ten, kto wbrew prawnemu, szczególnemu obowiązkowi niedopuszczenia do popełnienia czynu zabronionego swoim zaniechaniem ułatwia innej osobie jego popełnienie.

Czy wizję opublikowania "newsa dotyczącego luki w home.pl" jest już "grożeniem popełnieniem przestępstwa" lub groźbą bezprawną (por. felietony Nie trać nadziei i daj... szansę, Aby spać mógł ktoś, Ważny jest kolor kapelusza czy Wystarczy uzasadniona obawa)?

Czy skoro ktoś wspomniał o Agencji Bezpieczeństwa Wewnętrznego, to czy ABW będzie teraz analizować zasady odpowiedzialności wynikające z umów o utrzymanie infrastruktury pomiędzy zewnętrznymi spółkami a agendami rządowymi? Taki hosting ma pewien związek z "zagrożeniami godzącymi w bezpieczeństwo wewnętrzne państwa".

Tyle pytań. Tyle pytań...

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

opinia

Po 1. owa "luka" nie była luką a jedynie drobnym niedopatrzeniem ze strony pracowników home.pl - wystarczyło zmienić prawa dostępu do katalogów, bo ktoś te katalogi w końcu musiał utworzyć. Po drugie - nazwano ją "krytyczną luką" - krytyczna (w branży IT Security) to taka, która umożliwia dostęp na prawach administratora dowolnej osobie. Dostęp do logów oraz statystyk jest _niczym_. Po trzecie - Panów Michałów NIE NALEŻY nazywać mianem hakerów, ponieważ jest to obrazą dla ludzi którzy naprawdę na to określenie zasługują.

Polecam lekturę:
http://ihack.pl/hack.pl-200-tys-za-statystyki
oraz http://ihack.pl/abw-zajelo-sie-szantazystami

Całe szczęście nikogo nie nazywam "hackerem"

VaGla's picture

Całe szczęście nikogo nie nazywam "hackerem". Zresztą ja mam do tego określenia nieco dziwne podejście.

W przywołanym wyżej linku znajduje się tekst pt. "ABW zajęło się szantażystami", a w nim pisze Pan:

6 kwietnia 2007 r. home.pl zawiadomiła Prokuraturę Rejonową w Szczecinie o popełnieniu przestępstw określonych w art. 191 §1 i art. 267 kodeksu karnego, wnosząc jednocześnie o ściganie sprawców. Informacji od postępowaniu ABW chwilowo nie posiadamy.

No, ale poza wszystkim, to jak to jest? ABW zajęło się (jak wynika z tytułu notatki), czy też nie zajęło się sprawą (skoro "informacji nie posiadamy")? Nie podaje Pan żadnych linków do źródeł.

Warto jeszcze przywołać art. 115. § 12. Kodeksu karnego:

Groźbą bezprawną jest zarówno groźba, o której mowa w art. 190, jak i groźba spowodowania postępowania karnego lub rozgłoszenia wiadomości uwłaczającej czci zagrożonego lub jego osoby najbliższej; nie stanowi groźby zapowiedź spowodowania postępowania karnego, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Stąd nauka jest dla żuka...

Maciej Miąsik's picture

Skoro zamierzali skasować Home.pl na 200k za konsultację, to mogli się wcześniej zrzucić na poradę prawną i prawnika, który albo by im odradził tę akcję, albo też reprezentował ich wobec Home.pl. I teraz kto inny wychodzi na bohatera, a kto inny na złoczyńcę.

wiele szumu o nic

Jak zauważyli czytelnicy Dziennika Internautów, hack.pl żądał zaledwie 200 zł (przecinek po dwóch zerach). Home.pl mógł zapłacić tą kwotę zamiast się pienić.

...tyle, że przecinek był przed trzema zerami

VaGla's picture

Powyżej zacytowałem oryginalny mail. Tam jest napisane "szacujemy wstępnie na 200,000 złotych". Nie wykluczam, że ktoś w trakcie "przesyłania dalej" zmanipulował tę informację, ale uważam (przyznaję, że subiektywnie), że raczej nie doszło do manipulacji w tym zakresie. Zresztą 200 tys złotych, czy 200 a nawet 20 złotych to w tym przypadku mało istotne. Ważniejsze jest to, czy tego typu oferty (informacja za wynagrodzenie w kontekście wizji opublikowania "notatki ujawniającej") mieszczą się w granicach prawa, czy też stanowią przykład groźby bezprawnej.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Przecinek a kropka

Nie ma znaczenia, przed iloma zerami był przecinek.

Pański przedpiśca (a raczej osoby, których opinię on cytuje) miał zapewne na myśli to, że w języku polskim przyjęte jest (a prawdopodobnie i skodyfikowane przez jakąś Polską Normę dotyczącą typografii lub jednostek), że przecinka pomiędzy liczbami używa się do oznaczania miejsca, na prawo od którego znajdują się cyfry zliczające potęgi dziesięciu mniejsze od zera, na lewo zaś --- pozostałe.

Zgodnie z tą zasadą 200,000 zł oznacza po prostu dwieście złotych, choćby za owym przecinkiem i dwieście kolejnych zer stać miało.

(I choć można przypuszczać, że autorzy wiadomości oryginalnej zapomnieli o tej zasadzie i rzeczywiście mieli na myśli dwieście tysięcy złotych, to wcale by mnie nie zdziwiło, gdyby na jaw wyszło, że właśnie bardzo dobrze pamiętali o tej zasadzie i dobrym dowcipem wydało im się spowodowanie, by ktoś, kto o niej nie pamięta, przeczytał tę kwotę o trzy rzędy wielkości za wysoko. O ile pamiętam, był nawet taki wątek w jakimś serialu telewizyjnym o crackerach, lub być może filmie, zatem to mogłoby być ukryte nawiązanie do owego.)

publikowanie notatki ujawniającej?

A gdyby spojrzeć na sprawę z innej strony?

Panowie z hack.pl są redaktorami - prowadzą stronę internetową. Właściwie to w ich interesie jest opublikowanie informacji o znalezionej luce. Ale wiedząc, jakie to może mieć konsekwencje postanowili porozmawiać z home.pl, co pozwoliłoby firmie hostingowej ustrzec się przed niemałą rysą na wizerunku. Wartość reklamy, jaką dałaby im owa notatka (no bo przedstawili by się jako fachowcy od bezpieczeństwa, może spłynęły by im jakieś sensowne zlecenia na konsultacje) wyceniono tak a nie inaczej.

Szczerze mówiąc, to co się dzieje, to lekka paranoja. Home miałby prawo się pieklić gdyby nie deklaracja "a także o udostępnieniu zacieniowanych dowodów, które jednak nie pozwoliłyby na wykorzystanie błędu". Jest to normalna praktyka informowania o znalezionych lukach. Gdyby napisano np "a także o udostępnieniu pełnego opisu metody wykorzystania znalezionej luki" - to już inaczej. To byłaby wyraźna groźba.

Panowie z hack.pl nie zagrozili podjęciem jakichś działań, a raczej zaproponowali zaniechania swojej statutowej działalności.

Jeszcze jeśli chodzi o sposób informowania o sprawie - prawie wszędzie widać pogoń za sensacją. To również może doprowadzić do serii procesów, tym razem cywilnych. Dobrym przykładem jest news na hacking.pl, gdzie panów Michałów nazywa się przestępcami i cyber-szantażystami. Jeśli redaktorzy hack.pl zostaną uznani za niewinnych, można się spodziewać, że uznają tego typu artykuł za próbę zniesławienia lub pomówienia.

Zgadzam się z przedmówcą

Zgadzam się z przedmówcą że postawa Home.pl była nie na miejscu. Straszenie prokuraturą całkowicie zamknęło im jedną z najważniejszych dróg informacji o poziomie bezpieczeństwa hostowanych przez siebie serwisów. Następnym razem, jeśli ktokolwiek odkryje podobną lukę, będzie się bał wspomnieć o tym samemu zainteresowanemu i od razu opublikuje informacje o luce szerokiej publiczności, przynajmniej będzie miał oficjalnie przypisane autorstwo "znaleziska".

Dostępność a CAPTCHA

Komentarz, który wcześniej znajdował się w tym miejscu, został przeniesiony do innego wątku.

Kolejny przykład że słowa

Michał Poselt's picture

Kolejny przykład, że słowa trzeba dobierać z rozwagą.

Pytanie czy użyto metody brute-force czy też nie.
Brute-force to typowy przykład ataku więc nie ważne czy jego zakres dotyczny liczb z przedziału 100-999 czy też wiekszego ataku.

Hacking.pl pisze wyrażnie:

Luka, o której mowa dotyczyła dostępu do logów niektórych serwisów. Stosując metodę brute-force po HTTP redaktorom z hack.pl udało się wyszukać nazwy katalogów ze statystykami a następnie przeglądać staty serwisów internetowych.

Ciekawy jestem jak ta sprawa zostanie potraktowana przez prokuraturę...

Security by obscurity?

Pytanie, czy testowanie de facto nie zabezpieczonych url-i jest przełamywaniem zabezpieczeń? Bo co do tego można się kłócić. Z jednej strony jest to uzyskanie dostępu do informacji nie przeznaczonej dla danego usera, a z drugiej ciężko uznać to za zabezpieczenie. Tu kłania się wcześniejsza sprawa młodego człowieka, który pobrał jeszcze oficjalnie nie opublikowany teledysk. Uznano go winnym, choć zasób nie był zabezpieczony żadnymi technicznymi środkami.

dlatego odnosze się do

Michał Poselt's picture

dlatego odnosze się do "brute-force".

Swoja droga wiele do zyczenia pozostawia sama konstrukcja tego maila do home.pl

juz ktos tez pisal o znaczeniu slowa "krytyczna" luka...

Pozdr.

Czy skazany oznacza winny?

Nie uznano go winnym, a poddal sie karze. Tak przynajmniej mozna przeczytac na tej stronie. Juz w ogole nie oznacza to, ze byl winny.

Wiedzieli i nic nie robili

Mnie zastanawia coś innego. Ta "luka" jest znana nie od dziś. Słyszałem, że wiele osób już miesiące temu pisało do home.pl w tej sprawie. O ile dobrze pamiętam to (chyba) też pewna duża gazeta z branży o tym pisała. W google nadal można trafić na te statystyki. Mimo to nikt nie reagował....

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>