A hasła do serwerków Kancelarii Sejmu brzmią...
Właśnie jeden z komentarzy przypomniał mi o notatce z 2004 roku: Przy okazji: administracja Sejm.gov.pl. Wisi tam sobie niewinnie, chociaż była wówczas również dyskusja w Usenecie. Jednym słowem - sprawa niezabezpieczonego poprawnie serwera Kancelarii Sejmu nie jest niczym tajnym ani nowym. 4 lata temu administrator serwera stwierdził, że dziura musi zostać, "...ze względu na licencje związane z Verity". Ciekawe, czy te licencje naprawdę powodują, że serwera nie można zabezpieczyć...
Gdyby się komuś przypadkowo ręka prowadząca mysz osunęła na jakąś ikonę oprogramowania do skanowania portów (która to ikona pojawiła się na desktopie prawdopodobnie w wyniku działania np. jakiegoś konia trojańskiego, złośliwie instalującego na komputerze niedoświadczonego użytkownika kompromitujące oprogramowanie "hackerskie", bo trudno sobie wyobrazić, że "przez przypadek" palce zaawansowanego użytkownika ułożą się w odpowiednią komendę na konsoli), pewnie zauważy, że firewall blokuje wyjście na świat tego serwera. Dostępne są jedynie usługi: na porcie 80 (www), 113 (auth) czy 8009 (wyszukiwarka CGI). Od przynajmniej czterech lat widać zahaszowane hasła i nadal nikt się nie włamał (albo przynajmniej głośno o tym nie mówi). Maszynka służ pewnie jako "single-task serwer" (czyli można się ewentualnie teleportować do zamkniętego pomieszczenia). Oczywiście można wyciągnąć hasła (ze względu na zastosowanie słabego algorytmu szyfrowania) i pewnie pomocne byłyby tu słowniki haseł, które za pomocą współczesnych "usług" i zebranych w Sieci zasobów dostępne są dla każdego po dwóch, może trzech kliknięciach...
Dwa hasła są proste (jedno bardzo medialne, drugie mniej, chociaż drugie trzyliterowe). Oba zresztą widać na ilustracji do tej notatki..
Ktoś bardziej zdeterminowany, gdyby już poznał hasła na jeden z serwerów, mógłby sprawdzić, czy aby na innych serwerach one się nie powtarzają... Wiele jest możliwości...
Pamiętacie jaka była "afera", gdy program "Teraz My" zajął się tematem "zabezpieczeń serwerów policji"? A wtedy nie udało się "znanemu hackerowi" przechwycić policyjnej poczty (show rządzi się swoimi prawami i czasem wystarczy powiedzieć, że się coś może zrobić, niekoniecznie faktycznie potrafić czy móc). Dlatego uspokajam czytelników: wszystko jest w porządku. Państwo jest bezpieczne i nic się nie stanie, jeśli ktoś pozna hasła na serwer Kancelarii Sejmu. A może warto postulować, by tego typu polityka była stosowana również w innych instytucjach publicznych? Wówczas łatwiej byłoby "mirrorować" (por. Przejmujemy państwo).
PS. Właśnie sprawdziłem i widzę, że Hack.pl w styczniu 2007 roku wrócił do sprawy i opublikował wówczas tekst: Sejmowy serwer dalej z lukami? Tam też przywołana pierwsza odpowiedź administratora:
Mysle ze jednak jeszcze daleko do przejecia kontroli. Wiem ze jest stary Apache ale tak musi zostac. Przynajmniej mozna epatwoac mozliwoscia bejrzenia /etc/passwd i paru innych. Dziekuje za zainteresowanie. Byc moze kiedys uda sie zmienic wersje co nie jest proste ze wzgldu na licencje zwiazane z Verity. Zwykle odzywaja sie problemy z zakupem nowych wersji i tak musi poki co pozostac.
Przeczytaj również:
- Bezpieczeństwo systemów FBI, czy w Polsce są takie raporty?
- Hasło na dziś: Infrastruktura Krytyczna Państwa
- Jak zaoferować unikalną wiedzę czyli Home.pl vs Hack.pl
- Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki
- Ciąg dalszy w sprawie, w której kajdanek użyto po podpisaniu klauzuli poufności
- Dyskusja o bezpieczeństwie systemów... Policji
- Zatrzymano chłopaka, który umieścił "złe psy" na stronie suwalskiej policji
- Bezpieczeństwo maszyn do głosowania: klucz ze zdjęcia
- Cisza przedwyborcza: atak hackerów, gra nerwów czy dziennikarstwo?
- Internet a polityka, czyli włamania na witrynę PiS i porno w PO
- Skanowanie portów - czy znamy jakieś polskie przypadki?
- Stado może przejść przez dziurę po sprytnej krowie, czyli CSS nie jest "skutecznym" zabezpieczeniem
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Hasło to nie wszystko.
Istnieje pewne, choć małe prawdopodobieństwo, że maszyna ta jest dobrze zabezpieczona.
Po pierwsze hasła te moga dotyczyć pliku w chrootowanym środowisku.
Po drugie, istnieją ACL-ki i możliwość wykorzystania hasła uprzywilejowanego może być zabezpieczona.
Po trzecie, administrator może robi sobie jaja z tych którym się wydaje? Może to jest taki miodek na niegrzeczne pszczółki?
Oczywiście biorę to pod uwagę
Oczywiście biorę to pod uwagę. Zwłaszcza, że sprawa jest znana od kilku lat, to co widać nie zmienia się w tym czasie, a nie słychać nigdzie o spektakularnym włamie na serwery Sejmu (co w tekście odnotowałem).
--
[VaGla] Vigilant Android Generated for Logical Assassination
Hasło to nie wszystko.
To ze Pan Marek robi sobie jaja to akurat bardzo prawdopodobne (pozdrawiam przy okazji).
Przy okazji stara sie (bezskutecznie) zeby media zmusily jego przelozonych do wydania kasy na cos co powinni kupic juz dawno temu (upgrade oprogramowania do nowszej wersji i upgrade maszyny). Moze tym razem mu sie uda.
Strony BBN
Jak można właśnie przeczytać na Onecie, ze stroną BBN też jest dość łatwo.
A Tobie Vagla gratuluję niezłego wstrzelenia się w temat. To się nazywa synchronizacja!
BBN
Pod podanym wyżej linkiem oczywiście Paweł Jabłoński, a poza tym można przeczytać m.in:
A więc jest temat. I dalej:
A więc nie ma tematu...
Hmmm...
--
[VaGla] Vigilant Android Generated for Logical Assassination
Nie taki Gorion śmieszny jak go malują...
Do osiągnięć pana Pawła Jabłońskiego proponuję zachować spory dystans. Po kolejnych występach w telewizji coraz trudniej się śmiać, coraz bardziej chce się płakać.
Sam temat wiarygodności pokazywanych stron był poruszany w tym serwisie przy okazji notarialnego potwierdzania śladów w sieci.
Pozdrawiam
--
Makdaam
I jeszcze do GIODO
Myślę, że w tym miejscu należy również przypomnieć: Medialne pozdrowienia dla GIODO i kodzik pyt_13.secret.c, z tym uzupełnieniem, że na screenach warto zwrócić uwagę na URL "shakowanej strony", który nie odpowiada chyba giodo.gov.pl... O czym w kolejnym tekście Marketingowcy będą poprawiać poziom ochrony danych osobowych. Powoli kończą się urzędy, do których można powiedzieć, że się można włamać. I zasugerować włamanie w telewizji. Podziwiam konsekwencje Goriona i to, że wpadł na bardzo dobry pomysł promocyjny. W świecie, w którym jedną ze strategii marketingowych może być nazywanie innych złodziejami on dba o bezpieczeństwo danych państwa. To pozytywnie wyróżnia go w tym świecie walki o utrzymanie się w życiu. Co w tym złego, że we właściwy sobie, showmeński sposób zwraca uwagę na bezpieczeństwo infrastruktury informatycznej instytucji publicznej?
--
[VaGla] Vigilant Android Generated for Logical Assassination
Czy to napewno jest działanie pozytywne?
O iluzjoniście możemy mówić pozytywnie, gdy większość jego widowni zdaje sobie sprawę, że to co widzi jest tylko przedstawieniem. Gdy iluzjonista zacznie utrzymywać, że królik zmaterializował się w kapeluszu tylko dzięki jego woli i że wszystko dzieje się naprawdę, możemy mówić o szarlataństwie.
Bardzo dobrze, że problem bezpieczeństwa państwowej infrastruktury ujrzał światło dzienne. Nie podoba mi się tylko sposób zastraszania publiczności i pokazywania luk których nie ma. Zmodyfikować lokalną kopię strony potrafi każdy, a pan Jabłoński nie potrafi nawet sfałszować przestrzeni DNS widzianej przez jego własny komputer. Dla mnie jest to równoznaczne z poinformowaniem Policji o podłożonej bombie, tam gdzie tej bomby nie ma, przez osobiste stawienie się na komendzie. Tworzenie fałszywych alarmów prowadzi nieuchronnie do przegapienia prawdziwego.
Czy nie lepszym pomysłem byłoby zaproszenie kogoś, kto mógłby wyjaśnić jak poprawnie zweryfikować autentyczność strony internetowej banku albo jak postępować w przypadku wykorzystywania naszych danych osobowych bez naszej zgody? Ale to już sugestie do redagujących programy w telewizji...
white head hackers and black head hackers
A może celowo w telewizji nie dokonano włamania, tylko pokazano "włamanie". Wszak włamanie np. do bazy danych (a większość stron WWW ma taką strukturę) jest zabronione przez kodeks karny i może rodzić odpowiedzialność. Nawet jeśli "zabezpieczenia" strony WWW są faktycznie bardzo łatwe do "złamania", to mimo wszystko miało miejsce zabronione złamanie tych zabezpieczeń.. Może się mylę.
Czy w Polsce istnieją jakieś przepisy zezwalające na "white hacking"? Mam na myśli hackowanie w celu "naukowym", czy też swoistego "audytu" stanu zabezpieczeń jakiegoś podmiotu.
Jeden z powodów...
Jeden z powodów, dla którego wróciłem do tego tematu, który stał się początkiem tego wątku, jest tocząca się w Polsce sprawa karna, dotycząca informowania o lukach bezpieczeństwa (w celu oferowania swoich usług). W tekście chodzi o linki z "kajdankami".
--
[VaGla] Vigilant Android Generated for Logical Assassination
Chyba jednak coś się stało
Wygląda na to, że powiedział Pan o jedno słowo za dużo ;) : z rzeczonym serwerem nie można się obecnie skontaktować.