W wielu miejscach już napisano o głośnej akcji z 2 kwietnia 2007, kiedy to redaktorzy serwisu hack.pl „odkryli” dziurę w zabezpieczeniach home.pl i wysłali do największego serwisu hostingowego list, w którym za podanie szczegółowych informacji zażądali 200 000 złotych.
To co moim zdaniem się wyłania z całego zamieszania, to wielka tendencja do wyolbrzymiania. I tak:
- crackerzy nazywają dziurę „krytyczną”, podczas gdy w rzeczywistości umożliwia ona jedynie podgląd statystyk WWW; ewentualne prawdziwe włamanie wymaga dodatkowych okoliczności,
- napisałem że dziura została „odkryta” w cudzysłowiu, bo faktycznie każdy w miarę zaawansowany hacker bez problemu dostrzegłby schemat URL-i stosowanych przez Home (nazwa_konta.home.pl/statsXXX, gdzie XXX to trzy cyfry) i fakt, że nie są chronione żadnym hasłem; zapewne inni zauważyli to wcześniej,
- Steven z home.pl i media używają wielkich i modnych słów jak „cyberszantaż” – moim zdaniem z lekką przesadą,
- a ze strony serwisów hack.pl i hacking.pl na kilometr śmierdzi lansem i walką kogutów, którzy w rzeczywistości nie reprezentują nic nadzwyczajnego swoją wiedzą. Niejaki Michał Słowik z hacking.pl nie omieszkał skorzystać z okazji wystąpienia we Wiadomościach i naśmiania się z konkurencyjnego serwisu.
Redaktorzy hack.pl teraz tłumaczą, że nie była to w ogóle próba szantażu, a jedynie zwykła usługa audytu. Hmm, jakoś mierna ta linia obrony – bo w ich liście są jasne sugestie, że zamierzają opublikować informacje o dziurze, co może zaszkodzić wizerunkowi home.pl. Zatem oni dobrodusznie podejmą się audytu i wszyscy zapomną o sprawie.
Sprawa sumy jakiej zażądali – 200 000 zł; suma oczywiście z sufitu, zwłaszcza za audyt od kogoś o tak nędznej opinii. Być może linią obrony będzie to, że omyłkowo użyli przecinka, zamiast kropki jako separatora tysięcy (przy tej twórczej interpretacji „200,000” można by uznać za 200 złotych, ale wątpię aby ktoś w to uwierzył). Nawet gdyby zażądali 1000 razy mniej i tak na miejscu ISP bym nie płacił. Admini home.pl mieli przecież informacje jak na talerzu; wystarczyło popatrzeć w logi i w ciągu paru minut dostrzec nietypowy wzorzec z brute-forceowaniem URL-i.
Szkoda, że redaktorzy hack.pl wybrali akurat taką metodę lansu, bo może ich to faktycznie zaboleć. Nie ulega wątpliwości, że dziura w home.pl była i nawet samo publiczne udostępnienie statystyk odwiedzalności (bez włamania) mogło w przypadku wielu serwisów hostowanych u tego ISP być szkodliwe. Szczególnie może ich zaboleć fakt, że dla demonstracji dziury wybrali akurat serwis Ministerstwa Edukacji Narodowej, czyli zrobili sobie wroga w administracji państwowej. Bad idea...
Home.pl też się należy lanie: za brak wyobraźni przy zabezpieczaniu stron ze statystykami oraz za robienie z siebie ofiary cyberszantażu w mediach. Należało przede wszystkim spokojnie poinformować o tym co się stało, naprawić błąd i przeprosić klientów, którch statystyki na pewno do tej pory nie raz wyciekły. Mogę się założyć, że gdyby przeanalizować starsze logi, na pewno były już wcześniejsze próby zgadywania URL-i metodą brute-force.
Zassałem też odpowiedni kawałek (9MB) z Wiadomości i przekodowałem na otwarty format Xvid. itvp korzysta oczywiście z zamkniętego kodeka Windows Media v9, co uniemożliwia odtworzenie ich nagrań na platformach innych niż x86 i Mac OS X na PowerPC.
