Поверхностно пробежавшись по доступным таблицам, наш герой заметил хранящиеся пароли администраторов в plain-тексте, а также таблички с яркими именами колонок, говорящими сами за себя: id, card_type, passport_dob, passport_number, passport_issue, passport_expiry, passport_nationality, passport_name, phone_number_cell, address1, city, card_issue_number, card_expire_date, card_cvv.
Примечательно, что у пользователя с ограниченными правами (limited@localhost), от имени которого выполнялись SQL-запросы в базу, была назначена привилегия "file_priv", что при развитии атаки могло использоваться злоумышленником для получения возможности выполнения команд на сервере.
Дополнительные источники: 1,2,3.
Unu допрыгается :)))))
ОтветитьУдалитьда, однозначно :)
ОтветитьУдалитьNikita, +1 =)
ОтветитьУдалитьи всё гетом.
ОтветитьУдалитьне совсем понятен умысел "хакера" популярность? показать какие все незащищенны?))
думаю скоро будет видно новость о поимке Unu :(
to halkfild:
ОтветитьУдалитья полагаю его умысел - самореклама. но за такую "хулиганскую" рекламу он вполне может "попасть" собсем не по-детски...
Поскольку я знаю, прежде чем опубликовать уязвимости, (в отличие от других кстати), unu сообщает администратором сервера об этом... и как мы хорошо знаем, 30% из них ничего не предпринимают, остальные начинают врать что, якобы "у них такое не было" или "ничего опасного — Ваши данные в безопасности"...
ОтветитьУдалитьКстати, начёт взлома, этот же сервер был взломан около месяца назад:
И где гарантия, что эти данные (которые опубликовал unu) не используют уже в других целях? А ведь Intel ничего не сказал, и только благодаря румынскому хакеру все узнали, как Интел относится к персональным данным.
Моё мнение, этот парень молодец, но проблема в том, что есть такие гиганты, которым наплевать на своих клиентов, и из-за всех сил стараются тянуть его на дно.
Начёт "допрыгается" — не уверен, ведь он НИЧЕГО не нарушает, и потом, в июне Orange подал иск против Google, чтобы с их помощью арестовать группу HackersBlog, но как мы видим, никто не арестован...
>> и как мы хорошо знаем, 30% из них ничего не предпринимают
ОтветитьУдалитьоткуда появилась цифра в 30%?
>> этот же сервер был взломан
очень занятный материал, спасибо за ссылку!
>> Моё мнение, этот парень молодец
а никто и не утверждал обратного:) обсуждение касалось исключительно преследуемых целей Unu и возможных последствий от его сомнительной деятельности.
Вот, кстати какой ответ можно получить от разработчиков, когда им в стиле just for fun сообщаешь про уязвимости в их движках:
"
...
I solved problem B, you were right about this. I fully understand problem A, but can you give a more specific example of which SQL-injection you could do?
And last question: why are you doing this? To make the world better?"
:))
>> Начёт "допрыгается" — не уверен, ведь он НИЧЕГО не нарушает
Ошибаетесь. Во-первых, невиновных нет:( А во-вторых, нарушает! Он получил доступ к данным, составляющим коммерческую тайну без легального предоставления такого доступа. Так что, если по нашим законам, то 272 ст. уже есть.
Кстати, обсуждение на эту тему (см. коменты):
http://infowatch.livejournal.com/84302.html
и еще: http://infowatch.livejournal.com/84776.html
>> но как мы видим, никто не арестован
К сожалению и у нас и за рубежом практикуются "показательные" судебные процессы. Да, есть те, кого это обошло стороной (им повезло), но есть и другие, которым повезло в меньшей степени.
Прежде, чем заниматься любой сомнительной деятельностью стоит хорошо подумать, а стоит ли оно того...
»» предпринимают.
ОтветитьУдалитьЯ уверен на 90% что не предпринимают.
Маленький пример: Можно посмотреть на случай с Orange — они не устранили уязвимость, пока HackersBlog не опубликовал статью на блоге.
»» откуда появилась цифра в 30%?
Раньше, я тоже сообщал администраторам сайтов о наличие уязвимостей. Как правило, через несколько дней проверял, что они там "починили"... После каждой 3-4 сообщении заметил такой "эффект" — равнодушие. Думаю, многие, которые сообщают об уязвимостях, заметили "необычное поведение". НО, есть ещё одна маленькая "проблема": эти сообщении могли получать вовсе не веб-мастеры, а какие-то "специалисты", которые увидев заголовок "Ваш сайт уязвим к Php including", удалили сообщение, думая, что этот спам. Но это их проблемы...
»» а никто и не утверждал обратного.
Простите, но я не дописал свою мысль. Хотел сказать, что он молодец, потому что делает всё это публично (заставляя ВСЕХ, шевелить быстрее свой "хвост") и не подкупается «ни деньгами, ни ложью», и с моей точки зрения здесь не идёт речь (как Вы сказали) о "саморекламе".
p.s. на zone-h, я не увидел ни одной его "работы". :)
»» Вот, кстати какой ответ можно получить от разработчиков.
Вообще-то разработчики должны сказать спасибо людям, которые ради удовольствия, проверили движок, да ещё и сообщили об обнаружении опасных уязвимостей, вместо того чтобы продать её на "чёрный рынок" и получить за это кучу денег.
»» Ошибаетесь. Во-первых, невиновных нет.
100% согласен с Вами — и в этом случае виноваты программисты/INTEL. Ведь виновен, считается тот, кто создал приложение, построил дом, отремонтировал автомобиль и т.д., а не тот, кто начал кричать о том, что нашёл уязвимость, заметил, что не ставили двери или что отсутствуют колеса/тормоза...
»» А во-вторых, нарушает.
Не хочу спорить, но, как уже многие знают и замечали, законы в сфере ИТ никто 100% не может точно понять и объяснить.
Насчёт статьи 272 УК РФ, можно сказать, что unu ничего не нарушал, потому что:
— во-первых, и самое главное (второе можно даже не читать :)) его "деяние НЕ повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети..."
— во-вторых, не уверен, но вообще-то получается что unu не получил несанкционированный доступ к информации, так как это информация не была защищена.
>> Я уверен на 90% что не предпринимают.
ОтветитьУдалитьсубъективная точка зрения... хорошо бы на этот счет получить подкрепленную фактами метрику. у меня вот, например, есть другие данные (только несколько не публичные).
>> Можно посмотреть на случай с Orange — они не устранили уязвимость, пока HackersBlog не опубликовал статью на блоге.
бизнес оперирует не "уязвимостями", а рисками. до того момента пока HackersBlog не опубликовал статью риск был минимальным, следовательно, они особо и не шевелились.
>> После каждой 3-4 сообщении заметил такой "эффект" — равнодушие.
Так оно и есть и "эти сообщении могли получать вовсе не веб-мастеры" верно. Потому я занимаю позицию public disclosure – это хорошо, только он должен быть правильным (http://www.securitylab.ru/lab/disclosure-policy.php).
>> и с моей точки зрения здесь не идёт речь (как Вы сказали) о "саморекламе".
>> p.s. на zone-h, я не увидел ни одной его "работы". :)
Так вся информация публикуется здесь: http://unu123456.baywords.com/ сюда же все и ссылаются.
>> Вообще-то разработчики должны сказать спасибо
Далеко не каждый, готов с улыбкой отреагировать на собственные косяки...
>> и в этом случае виноваты программисты/INTEL
Нет:) Я хотел сказать, что при желании виновным может оказаться самый законопослушный человек в нашем обществе.
>> Насчёт статьи 272 УК РФ, можно сказать, что unu ничего не нарушал, потому что:
Нет, Вы заблуждаетесь. Его деяние повлекло копирование охраняемой законом информации (персональные данные + коммерческая тайна в виде номеров кредитных карт), вот пример: http://unu123456.baywords.com/files/2009/12/i_card_passport.JPG
Кроме того, сам факт поиска уязвимости в Web-приложении (и не только в web) без согласования этого деяния с владельцем ресурса в суде будет расцениваться, как преступление, совершенное умышленно (http://www.consultant.ru/popular/ukrf/10_6.html#p227). В случае, если поиск уязвимости был осуществлен, а уязвимость не была найдена – это тоже преступление, только не доведенное до конца (http://ru.wikipedia.org/wiki/Стадии_совершения_преступления).
в тему обсуждения: http://www.securitylab.ru/news/389184.php
ОтветитьУдалить