Visiems drąsuoliams skirta naujiena: “Nuteistas programišius” http://www.alfa.lt/straipsnis/10274690.

Neįprastas atvejis Lietuvai, bet atrodo, kad situacija jau keičiasi ir čia. Užjaučiu tą žmogų, kuris visą tekstą straipsnyje turėjo surašyti taisyklinga lietuvių kalba nenaudojant IT terminų.

P.S. Nuotrauka šiaip iš interneto.

Užfiksavo Stepas vakar vakare.

Prijungiama per USB, papildomo maitinimo šaltinio jai nereikia.

Įranga skaito/rašo visus 3 magnetinės kortelės takelius. Pritaikyta Windows/Mac OS/Linux ir Windows Mobile sistemoms. Praktiškai dar nebandžiau (neturiu USB į miniUSB konverterio), bet teoriškai visas šitas gėris turėtų veikti ir su mano Xperia telefonu. Pasijungimas ir diegimas paprastas, viskas vyksta sklandžiai.

Magnetinių kortelių fizines charakteristikas apibrėžia krūva ISO standartų. Nuo to gali priklausyti kortelės dydis, lankstumas, magnetinės juostelės padėtis ir t.t. Duomenys joje gali būti saugomi trijuose takeliuose, tačiau visi trys būna naudojami gan retai. Pvz. VISA kortelėse naudojami tik du takeliai. Įvairiose nuolaidų kortelėse dažniausiai naudojamas išvis tik vienas. Kaip duomenys surašomi į korteles – priklauso nuo naudojamo standarto. Pvz. mokėjimo kortelėse naudojamas ISO 7813 standartas. Visą techninę duomenų formato informaciją rasite aprašytą standarte, tad čia į tai nesigilinsiu. Kur kas įdomiau yra korteles panagrinėti praktiškai. Turiu tokių krūvą piniginėje. Žinoma, pirmą kurią ištraukiau, buvo mokėjimo kortelė. Ir neradau joje nieko labai neįprasto. Viskas taip pat, kaip aprašo standartas. Kortelės numeris, vardas, pavardė, galiojimo data, paslaugos kodas ir t.t. Nieko įdomaus greitiems eksperimentams. Jei būtų pasibaigusi kortelės galiojimo data, tuomet būtų galima ją prasitęsti ir pasižiūrėti kaip į tai reaguotų bankinė sistema. Bet čia šiaip trumpi pasižaidimai.

Turbūt blogiausias dalykas, kurį galima padaryti, tai į kortelę, ant kurios užrašytas mano vardas ir pavardė, surašyti svetimus duomenis. Tokiu atveju ant kortelės bus visi reikiami duomenys, jie atitiks mano dokumentus, mano parašas bus geras, tačiau pinigų nuskaitymas vyktų iš svetimos sąskaitos. Pardavėjoms liepiama tikrinti duomenis ant kortelės, su duomenimis dokumente ir šis žmogiškas filtras būtų apeitas. Tokiu atveju pardavėjos turėtų dar papildomai tikrinti ir kas atspausdinta kvite, t.y. paskutinius skaičius ant kortelės, su paskutiniais skaičiais kvite. Bet ar jos tai daro? Jos net į parašo autentiškumą dėmesio nekreipia. Tiesa, šiam dalykui reikia gauti svetimus kortelės duomenis, o jų niekas taip paprastai nedalina. Duomenų iš kortelių vagysčių atvejų gali pasitaikyti pvz. kavinėse ar kitose vietose, kai jūs savo kortelę duodate padavėjai, o ji ją nusineša prie baro. Su mano turima įranga nukopijuoti duomenis tetrunka maždaug 2 sekundes ir jūs tikrai to nepastebėsite. Žinoma, visuomet dar lieka PIN kodas. Kam įdomu, tai galiu pasakyti, kad jis kortelėje nesaugomas. Bet ar sunku žvilgtelėti per petį? Žodžiu, norit saugios kortelės, tai pasiimkit lustines, su mikroschema ir be jokių magnetinių takelių. Kai kurie bankai dalina dubliuotas, “tipo” saugias korteles. Jose yra ir mikrschema, ir magnetinis takelis. Taip padaryta didesniam suderinamumui, kad kortelę galėtų aptarnauti ir senesnė įranga. Pardavėjai, tokiu atveju, pinigų nuskaitymą turėtų daryti iš lusto, o ne magnetinio takelio. Kai kurie taip ir daro. Kurie turi tam skirtą įrangą. O kai kurie didieji prekybos centrai, panašu, kad dėjo ant tokio bankų reikalavimo pasakydami “jums reikia, jūs ir keiskit įrangą” ir toliau sau brauko per takelį. Žinoma, bankams tai per didelės investicijos, o atsisakyti aptarnauti kortelių nenori, nes kiekvienas atsiskaitymas jiems reiškia pajamas. Vat ir visas tokios lustinės kortelės saugumas. Atrodo, lustas lyg ir saugiau, bet jei yra ir dubliuojantis magnetinis takelis, tuomet gaunasi lygiai tas pats.

Neste kreditinė kuro kortelė turiniu pasirodė panaši į bankinę kortelę. Bet tai nieko nuostabaus, nes naudojantis ja reikia rinkti PIN kodą ir t.t.

O vat su nuolaidų ir visokiom panašiom kortelėmis kur kas įdomiau. Piniginėj pastoviai nešiojuosi tik vieną – Laisvalaikio. Joje įrašytas tik antras takelis. Ir viskas kas jame yra, tai tik ant kortelės užrašytas numeris, kurio pradžioje yra pridėtas skaičius 900.

Nesu tikras ką jis reiškia, galbūt kažkuriuo būdu užrašytą galiojimo datą, bet tą analizę atliksiu kiek vėliau, tiesiog tokių kortelių turinį pasižiūrėjęs iš kolegų bei draugų ir sulyginęs. Pati kortelė kainuoja 100 Lt metams ir į ją įrašyti svetimos kortelės numerį nėra sudėtinga, kad kortelė veiktų toliau. Numerio formatas – išdavimo metai + turbūt iš eilės einanti skaičių seka. Bet čia didesnė bėda yra nuotrauka ir galiojimo data ant jos. Kai kur (pvz. Forum Cinemas kinoteatre) yra tikrinamas ne kortelės turinys, bet tai kas parašyta ant jos, tokiu atveju pakeisti duomenys kortelėje nieko nekeičia. Tad čia sutaupyti 100 litų turbūt nelabai pavyks.

Tas pats ir su sporto klubo Impuls kortele. Įrašytas tik numeriukas antrame takelyje. Ant pačios kortelės nėra nieko. Bet kai tą kortelę paduodi klube, ateinančio žmogaus nuotrauką darbuotojai mato kompiuteryje. Daugiau jokios kitokios kortelės duomenų apsaugos nėra.

Tad vis tik ar galima kaip nors nesudėtingai ir be galimų didelių bausmių sutaupyti šiais krizės laikais? Galima. Tą paprasta padaryti su kaupiamosiomis nuolaidų kortelėmis. Tokias turi Norfa, Monton, JCI, Lukoil bei kiti tinklai. Tokios kortelės pagrindinė idėja – kuo daugiau perki, tuo didesnę nuolaidą gauni arba sukaupi. Vienuose tinkluose nuolaidos būna visam laikui, kituose galioja tik metus. Pvz. Monton tinkle (nepamenu ar turi magnetinį takelį ar tik barkodą). Tokiu atveju kuo greičiau sukaupi didesnę nuolaidą, tuo greičiau gali pradėti sutaupyti. Pagal idėją, tai yra lojalumo skatinimo programa. Bet man asmeniškai debilizmas kažkoks. Noriu man patinkančios prekės už priimtiną kainą dabar, o ne po metų. Tikrai nepirksiu drabužių Montone vien tam, kad sukaupčiau didesnę nuolaidą, kuria galbūt pasinaudosiu per metus, jei rasiu ten patinkančių rūbų. O jei nerasiu? Pradėčiau keiktis dėl tokių lojalumo programų ir man nesuprantamo savininkų/vadybininkų mąstymo, bet sako negražu keiktis. Žodžiu, man tai yra tiesiog maustymas, o ne lojalumo skatinimas. Dėl to net neužeinu į Montoną.

Taigi, jei neduodama geresnė kaina iš karto, vadinasi reikia pasiimti ją patiems. Idėja turbūt jau aiški. Imi kelias vieno tinklo nuolaidų korteles ir surašai į jas tuos pačius duomenis. Vizualiai jos atrodys tinkamai, su visais logotipais ir t.t., gali skirtis tik ant jų išspaustas numeris, bet kam jis rūpi? O turinys magnetiniame takelyje bus visiškai identiškas ir nuolaidos bus kaupiamos į vieną sąskaitą. Pasidalinus tokias klonuotas korteles keliese, suma, nuo kurios prasideda nuolaidos, susikaups kur kas greičiau. Vat taip paprastai ir susitaupo po truputį… Juk krizė, Kubilius diržus veržtis liepė…

Nenustebkit, jei kada nors išaugus duomenų srautui, savo serveriuose aptiksite draudžiamos pornografijos ar nelegalios programinės įrangos klodus. Žodžiu, ką daryti po išlaužimo, priklauso jau nuo kiekvieno fantazijos.

Kadangi baigėsi metai, tai visur visi pradėjo skelbti įvairius 2008 metų topus. Pats jokios statistikos nevedu, tad čia remsiuos kompanijos Bit9 informacija. Ką ta kompanija veikia? Jos pagrindinė veikla yra programų whitelist’inimas. T.y. daryti taip, kad įmonėse darbuotojai galėtų paleisti tik tas programas kurias jiems leidžiama paleisti ir jokios kitos improvizacijos su darbiniais kompiuteriais. Lietuvoje iki tokio lygio kol kas “priaugę” tik kai kurie bankai. Tokias paslaugas teikiančių yra ir daugiau, bet grižkim prie pažeidžiamiausių 2008 metų programų sąrašo.

Programų vertinimo kriterijai

Vertintos programos turėjo atitikti tokius kriterijus:

a) turi veikti Microsoft Windows aplinkoje (atkreipkit dėmesį, kad vertinamos programos, o ne operacinės sistemos)
b) yra gerai žinoma tarp vartotojų ir dažnai parsisiunčiamos
c) nėra priskiriama žalingoms programoms
d) turi bent vieną kritinį pažeidžiamumą, kuris yra paskelbtas nuo 2008 m. sausio mėn, užregistruotas NIST bazėje ir turi CVSS pažeidžiamumo lygį nuo 7.0 iki 10.0
e) programos priežiūra priklauso nuo kompiuterio vartotojo, o ne nuo jį prižiūrinčio administratoriaus. Tai reiškia, kad jei pats darbuotojas atsisuntė ir įsidiegė, tai jis pats rūpinasi ir visais tos programos atnaujinimais
f) programa negali automatiškai atsinaujinti per centrines įmonių programinės įrangos atnaujinimo sistemas, tokias kaip Microsoft SMS ir WSUS. Pagal šį kriterijų iš karto atkrenta dalis Microsoft produktų.

Ką gi, pagal kriterijus matom, kad orientuotasi buvo į populiariausią programinę įrangą, kurią naudoja vartotojai ir dažnai patys savavališkai įsidiegia į įmonių kompiuterius. Tai yra ta vieta, per kurią šiandien ir kyla didžiausia tikimybė įmonei būti “išlaužtai”.

Topas

Atsižvelgiant į pateiktus kriterijus, programų populiarumą, jų pažeidžiamumų kiekį bei dažnumą ir centralizuoto atnaujinimo galimybės sudėtingumą, pažeidžiamiausios programos pasiskirstė taip:

1. Mozilla Firefox 3.x, 2.x. Per 2008 metus Mozilla pašalino 10 pažeidžiamumų, išnaudojant kuriuos, įsilaužėliai galėjo pilnai perimti viso kompiuterio valdymą.

2. Adobe Flash & Acrobat. Bit9 įvardina 14 pažeidžiamumų per abu produktus. Kompiuterio valdymą buvo galima perimti ir čia.

3. EMC VMware Player,Workstation ir kiti produktai. Šie dažnai IT specialistų naudojami produktai surinko 10 pažeidžiamumų, kurie suteikė įvairų galimybių įsilaužėliams. Teisių pasididinimas sistemoje ar kompiuterio valdymo perėmimas buvo ir čia.

4. Sun Java Runtime Environment (JRE). Įvardinta 10 pažeidžiamumų, per kuriuos buvo galima pilnai manipuliuoti failais sistemoje.

5. Apple QuickTime, Safari & iTunes. Ar tik ne Apple’as gyrėsi kokie jie faini ir saugūs? 13 kritinių pažeidžiamumų per visus 3 produktus. 9 iš jų priklauso QuickTime grotuvui.

6. Symantec Norton produktai. Užfiksuotas vienas kritinis pažeidžiamumas, tačiau visose versijose, kurių žymėjimas prasideda skaičiumi 2006 ir baigiasi 2008.

7. Trend Micro. Viso 4 kritiniai pažeidžiamumai, atvėrę duris įsilaužėliams į jūsų kompiuterį.

8. Citrix produktai. 4 pažeidžiamumai.

9. Aurigma, Lycos. 3 pažeidžiamumai Lietuvoje mažai populiariuose produktuose.

10. Skype. 3 pažeidžiamumai, kuriais įsilaužėlis galėjo priversti jūsų naršyklę paklusti jam.

11. Yahoo! Assistant. Vos vienas pažeidžiamumas, kurio pagalba galimas visos sistemos valdymo perėmimas.

12. Microsoft Windows Live (MSN) Messenger. Taip pat vienas pažeidžiamumas ir galimybė pasisavinti kontaktus iš šios pokalbių programos bei kitokia programos kontrolė.

Kas, kaip ir kodėl taip yra pateikta originalioje ataskaitoje.

Kaip patys matot, topas yra šiek tiek amerikoniškas. Tačiau didelė jo dalis tinka ir lietuviams. Lietuvoje dažname kompiuteryje galima aptikti 1, 2, 4, 5, 10, 12 vietose esančią programinę įrangą. Dalis jos (pvz. Flash, Acrobat, QuickTime, Java) sėkmingai integruojasi į bet kurią populiarią interneto naršyklę jūsų kompiuteryje. Tokiu atveju jums pakaktų apsilankyti pažeidžiamumą išnaudojančiame tinklalapyje ir savo kompiuteryje jau turėtumėte “svečių”. Kiek rečiau aptinkama 3, 6, 11 vietose esanti programinė įranga. Kai kuriuos Citrix produktus naudoju aš :), o 7 ir 9 vietos programos man išvis retas reiškinys.

Ką daryti?

Kaip prižiūrėti savo kompą, esu rašęs dar 2007 metais. Programų atnaujinimų sekimui puikiai tinka ten pat aprašyta Filehippo programa. O organizacijoms, kaip visuomet, darbo šiek tiek daugiau. Pradedant organizacinėm priemonėm ir baigiant technologiniais ribojimais.

Šiam kartui tiek ir žiūrėsim kokius topus paskelbs kitos kompanijos. Manau juos čia taip pat aprašysiu.

Kiekvienoje turinio valdymo sistemoje (toliau - TVS) yra administravimo aplinka. Paprastai ji yra apsaugota prisijungimo vardu ir slaptažodžiu. Kaip pavyzdį šiame įraše naudosiu tarp tinklaraštininkų populiarią TVS Wordpress. Wordpress’e tokia aplinka būna adresu http://www.***.lt/wp-admin. Pvz. http://www.nezinau.lt/wp-admin. Daugelyje TVS’ų administravimo aplinka pasiekiama tiesiog “admin”, “admin.php”, “administrator” ar panašiais adresais, todėl net ir nežinant TVS’o, tą aplinką aptikti nebūna sunku. Žmonės nuspėjami, programuotojai irgi.

Paprasčiausias “laužimas”, kurį galima čia padaryti, tai atspėti autoriaus slaptažodį. Ne, nereikia to daryti rankiniu būdu. Tą galima automatizuoti. Šiek tiek paieškojus, internete galima rasti jau paruoštų slaptažodžių parinkimo priemonių šiai sistemai. Pvz., kad ir šis bash skriptas. Kodas visiškai neilgas, daugiau nei pusę jo sudaro komentarai ir visoks bereikalingas teksto išvedimas į ekraną ir t.t. Tad esminė funkcija yra vos kelios eilutės. Kaip supratot, kažką analogiško parašyti bet kuriam TVS’ui taip pat nebūtų sudėtinga.

Parinkinėjant slaptažodžius reikia dviejų dalykų. Pirmas jų - galimi slaptažodžiai. Tai gali būti iš anksto paruoštas populiarių slaptažodžių žodynas ar parinkinėjimo metu kažkokios generuojamos reikšmės ir pan. Minėtam skriptui reikia pateikti failą su galimais slaptažodžiais. Antras dalykas, kurį reikia žinoti, yra vartotojo vardas, kuriam bus parinkinėjami slaptažodžiai. Jei jis nežinomas, tai slaptažodžius galima parinkinėti kiek nori ir vis tiek nepasiseks. Bet čia jus galiu nuraminti, nes ir šiuo atveju žmonės yra nuspėjami. 90% atvejų TVS’uose bus sukurtas vartotojas vardu “admin” arba “administrator”. Kai kuriose sistemose galima patikrinti ar egzistuoja toks vartotojas neprisijungiant prie sistemos ir nežinant vartotojo slaptažodžio. Tokia sistema yra ir Wordpress. Einam į administravimo aplinką ir į vartotojo vardo vietą įvedam bet ką.

Bandom prisijungti ir gaunam tokį rezultatą.

O jei į vartotojo vardo vietą įvesim “admin”, tai klaidą gausim jau visiškai kitokią.

Štai tokiais paprastais metodais pats Wordpress išduoda, kad vartotojas “admin” iš tiesų yra sukurtas sistemoje ir yra aktyvus. Pasinaudodami klaidų pranešimais susirenkam mums reikalingą informaciją. Galim patikrinti kelis kitus tinklaraščius.

www.nezinau.lt - vartotojas “admin” egzistuoja.

www.zudykreklama.lt - vartotojas “admin” egzistuoja.

www.slave.lt - vartotojas “admin” egzistuoja.

www.pragarovirtuve.lt - vartotojas “admin” egzistuoja.

www.zilionis.net - vartotojas “admin” egzistuoja.

www.marketer.lt - vartotojas “admin” egzistuoja.

blog.programisiai.lt - vartotojas “admin” egzistuoja.

ir t.t. Ne visuose populiariuose tinklaraščiuose šis vartotojas aktyvus, tačiau didesnėje dalyje Wordpress’inių tinklaraščių jis aktyvus. Belieka imti minėtą skriptą ir pradėti parinkinėti slaptažodžius. Manot tokia “žiopla” galimybė gali būti tik visokiose nemokamose TVS kaip Wordpress ir pan.? Galiu pateikti kitą pavyzdį. Na, kad ir su interneto vardų registratoriumi www.domreg.lt. Einam į užsakovo sritį ir bandom bet ką.

O pabandom su “admin” ir gaunam jau kitą klaidą.

Taigi, sėkmingai parinkinėti vartotojų vardus galima ir čia. O žinant tikrai egzistuojantį vartotoją sistemoje, jau ir tikimybė gauti reikiamą rezultatą kur kas didesnė.

Nuo slaptažodžių parinkinėjimo apsaugos priemonių yra įvairių. Pvz. tam pačiam Wordpress’e galima įsidiegti plug-in’ą Login LockDown ir būti pakankamai ramiam. Tačiau jei naudojate ne Wordpress platformą, tai tokių įskiepių jai gali ir nebūti. O jei dar turite ir daug vartotojų, besijungiančių prie administravimo aplinkos ir negalite būti tikras dėl jų slaptažodžių sudėtingumo? Ką daryti tuomet? Tuomet tiesiog apribokite prisijungimą prie administravimo aplinkos tik iki tam tikrų IP adresų. Juk prie tos aplinkos dažniausiai jungiatės iš darbo ar namų. Wordpress atveju, kataloge “wp-admin”, reikia sukurti failą “.htaccess”. Tai katalogo taisyklių failas Apache serveriui. O jame įrašykite tokias eilutes:

order deny,allow
deny from all

allow from 111.222.333.444

allow from 444.333.222.111

Žinoma, vietoje 111.222.333.444 ir 444.333.222.111 turite įrašyti IP adresus, kuriems priėjimas turi veikti. Viskas, tik tiek. Net ir žinant prisijungimo duomenis pasinaudoti administravimo aplinka nepavyks bet kam, nes “wp-admin” turinys pasiekiamas bus tik nurodytiems IP adresams. Tokiu būdu blokuoti galima bet kurių TVS katalogų turinį, po kuriuos kitiem landžioti nevalia. Apie kitas “.htaccess” taisykles informacijos internete pilna net ir lietuviškai. Tikrai susirasit. Metodas paprastas, tačiau jūsų tinklaraščius ir tinklalapius iš karto padarys saugesniais. O jei jus domina, tai prie Wordpress saugumo didinimo bus galima sugrįžti ir vėliau.

Ok, rugsėjo 25 dieną viskas atrodė maždaug taip:

Kažkoks berniukas įdėjo savo nuotrauką, turbūt norėdamas mane sugundyti. Galiu pasakyti, kad jam tai nepavyko. Nesusigundžiau. Gal kitą kartą čia galėtų užsukti moterų?

Jei jau pamanėte, kad defeisas buvo atliktas per mano blogui naudojamą WordPress sistemą, tai galiu Jus nuraminti. Ją prižiūriu kiek man galimybės leidžia. Ne web’e čia problemos. Tačiau esu visiškai bejėgis prieš hostingo tiekėją. Taip taip, kaip tikras lietuvis pasirinkau pigiausią. Nors ir siūliau savo pagalbą atliekant tyrimą, tačiau, kaip būna tokiais atvejais, tiekėjas buvo išdidus ir to atsisakė. Beje, dar ilgai ginčijosi ir sakė man, kad ne su jų prižiūrimu serveriu problemos, o su mano web’u. Kai pradėjau pirštu badyti, nebeatsakė nieko. Kadangi negaliu prieiti prie visų man reikalingų resursų ir faktais pagrįsti viso pasakojimo taip pat negaliu iki galo, todėl čia neminėsiu jokių pavadinimų ar vardų. Laikykim tai tik gražia ir neteisinga istorija.

Negalėdamas gauti reikiamų serverio duomenų, pradėjau savo tyrimą. Tiesa, kiek iš kitos pusės. Vadovavausi tokia prielaida, kad Lietuvoje nėra daug žmonių, galinčių surasti naujus pažeidžiamumus sistemose. O tie, kurie tai gali, lyg ir neturėtų būti linkę užsiiminėti tokiais žaidimais. Vadinasi, turėjo būti panaudotas kažkoks viešas pažeidžiamumas, pasirodęs nesenai ir kurio serverio adminai nebuvo pašalinę iš karto.

Pradėjęs žiūrinėti paskutinius serveryje veikiančių sistemų pažeidžiamumus, radau, kad visai nesenai buvo paviešintas phpMyAdmin pažeidžiamumas, leidžiantis prieiti prie bet kurio failo Apache serverio teisėmis. O būtent phpMyAdmin ir yra naudojamas MySQL duomenų bazės valdymui serveryje. Apie patį pažeidžiamumą galite pasiskaityti rusų arba anglų kalbomis. Programuojantiems pažeidžiamumo išnaudojimo kodas nėra sudėtingas, tiesa? Tačiau norint išnaudoti šį pažeidžiamumą, reikia, kad būtų užtikrintos dvi sąlygos. Pirmoji, paprastesnė, serveryje turi būti išjungtas “magic_quotes_gpc” parametras. Ką jis daro, rasite PHP dokumentacijoje. Patikrinus šio parametro statusą serveryje, rezultatas gaunamas toks:

Taip, parametras išjungtas ir pirmoji sąlyga tenkinama. Nors žinant lietuviškų (o šiuo atveju ir ne tik jų) web sistemų kokybę, geriau reikėtų turėti jį įjungtą.

Antroji sąlyga kiek sudėtingesnė. Norint įvykdyti pažeidžiamą kodą, reikia jau turėti prisijungimą prie kurio nors kliento phpMyAdmin aplikacijos. O kadangi priėjimas prie jos suteikiamas tik klientams, vadinasi serveryje reikia rasti nors vieną pažeidžiamą web alikaciją, išlaužti ją, gauti priėjimą prie phpMyAdmin’o to kliento teisėmis ir tuomet jau bus galima pasiekti beveik bet kurį failą serveryje. Kaip tai padaryti?

Pradėti reikėtų nuo kitų svetainių paieškos tame pačiame serveryje. Tą padaryti nesunku, jei žinai kur pele baksnoti. Taip, pasinaudokim paieškos sistemomis. Pvz. pažiūrėti su kuo dar tame pačiame serveryje sukasi tinklalapis www.vrm.lt galima panaudojant www.live.com paiešką. Tiesiog į paieškos langelį reikia įrašyti parametrą “IP:” ir vrm.lt serverio ip adresą. Viskas turi atrodyti taip:

Pilnus pavyzdžio rezultatus pamatysite paspaudę šią nuorodą. Štai potencialios aukos tame pačiame serveryje jau ir turimos. Žinant tai, kad pažeidžiamumų turi maždaug ~80% lietuviškų web sistemų, tai tarp visos krūvos surasti vieną pažeidžiamą neatrodo neįmanoma misija. Juolab, kad kartu su informacijosapsauga.lt tame pačiame serveryje sukasi ir jau spėjusios liūdnai pagarsėti lietuviškos turinio valdymo sistemos. Paanalizavus detaliau, iš tiesų galima surasti, kad tame pačiame serveryje daugiau pažeidžiamų tinklalapių tikrai yra. Ką gi, turim įvykdomą ir antrą salygą.

Toliau prisijungus kurio nors kliento vardu prie phpMyAdmin sistemos ir, panaudojant pažeidžiamumą, nuskaitomi kiti failai, kuriuose yra dominanti informacija ir prie kurių gali prieiti Apache serveris. Tokių bus pakankamai daug. Pvz. galima bandyti nuskaityti sistemos DirectAdmin, skirtos valdyti klientų tinklalapiams, prisijungimo prie duomenų bazės konfigūracinį failą. Šis konfigūracinis failas failinėje sistemoje turėtų būti tokiu keliu: /usr/local/directadmin/conf/mysql.conf. Jame galima rasti vartotoją “da_admin” bei jo slaptažodį. T.y. tokiu būdu jau gauti daugiau teisių į MySql DBVS ir t.t. Apache serverio teisėmis perskaityti galima pakankamai daug. Iš tiesų šioje vietoje ir yra sunkiausia nuspėti kas buvo padaryta toliau, neturint galimybės žvilgtelėti į patį serverį, todėl daugiau nebespėliosiu.

Tačiau kodėl manau, kad vis tik buvo pasinaudota serverio pažeidžiamumu? Atasakymą į šį klausimą galiu pagrįsti paprastai. Net ir dabar žvilgtelėjus į phpMyAdmin autorių puslapio skiltį “Security”, galima rasti, kad paskutinis pažeidžiamumas buvo praneštas 2008-09-23 dieną. Atnaujinimai pasirodė dieną prieš tai. Nors pagal aprašymą jis ir neatrodo taip plačiai pritaikomas kaip ankstesnysis, tačiau jo pavojingumą autoriai įvardina taip:

Nors šiandien jau spalio 27 diena, tačiau serveris vis dar rodo štai tokią įdiegta phpMyAdmin versiją:

Atrodo, kad problema čia pakankamai aiški. O blogiausia, kad tinklalapių savininkai tokiais atvejais nelabai ką ir begali padaryti. Ir gaunasi po to 300 tinklalapių su pjautuvais ir kūjais per vieną savaitgalį. Kadangi hostingas buvo pirktas metams ir jo dar liko nemažam laikui, tad šio tinklalapio nulaužimų dar turėtų būti. Taip sakant “allways welcome”.

1. http://www.trukstalis.lt/en/editor/htmlarea2/

2. http://www.skelbiu.kar.lt/

3. http://korionamas.lt/styles/