Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Adatvesztés magyar módra

2008.12.08. 15:16 | buherator | 32 komment

 Igen, ez durva:

"[...] több, mint 6000 [Veszprémi Egyetemre járó] hallgató neptun kódja, jelszava, lakcíme, személyigazolvány-száma szabadon letölthető volt hónapokig. Mivel sokan ugyanazt a jelszót használják szinte mindenhová, kimondhatjuk, hogy ez az év egyik legnagyobb adatvesztési botránya."

Frissítés:

"amikor a cikk íródott az adatok már titkosítva lettek a szerveren. Miattunk senki nem tudott letölteni semmit. Ugyanígy mire írtam volna a srácnak, már titkosította az adatokat, de nem akartam, hogy el legyen tusolva az ügy, ahhoz túl nagy kaliberű dolog több ezer ember adatának ilyen szintű leszarása."

"Belsős" infó, hogy a történet azért nem ilyen egyszerű, a link már napokkal azelőtt napvilágot látott egy másik nyilvános fórumon, így rengetegen hozzáférhettek az anyaghoz. Azt nem lehet tudni biztosan, hogy ugyanez a figura posztolta-e oda is, vagy csak "átmentette" a blogra a másik helyen megjelent URL-t. 

Frissítés:

Egész jó cikk jelent meg az IT Café-n a még most is gyűrűző balhéról, érdemes elolvasni! Én a következőkkel egészíteném ki az írás végén található kérdéssort:

  • Hogy van az, hogy a hallgatók jelszavát titkosítatlanul tárolják?
  • Miért pont az egyik home könyvtárába pakolta az az "Ismeretlen Támadó" a cuccot? hátha ott nem találják meg?
  • A cikk írója vajon melyik külsős cégre gondol, aki a vizsgálatot elvégezhetné? :)

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

depth 2008.12.08. 15:47:57

Érdekes, de nem lepődök meg rajta.
Valaki mesélte, már nem emlékszem ki :)
Az egyetemükön volt valami buli és előfeladatként öregdiákokról kellett infókat gyűjteni...
Ha jól emlékszem kb 15000 hallgatóval torony magasan nyertek :)))
Millió ilyen sztori van, csak sajnos nem derül ki minden....

Zoltan 2008.12.08. 19:45:28

Nem tudom melyik a durvább: a plaintext jelszavak, az admin 1234abcd jelszava (mégha csak teszt felhasználóról van is szó) vagy a logban lévő A.kem.aki.szeretett.engem.DVDR.HunDub.EngDub.PAL :)

deejayy · http://deejayy.hu/ 2008.12.08. 20:14:16

Történhettek volna durvább dolgok is annak idején, amikor a neptunt még terminal serveren keresztül lehetett elérni. Egy csöpp oracle tudással egy parancssal ki lehetett volna exportálni az egész egyetemi adatbázist, na ez a durva.

r@ek (törölt) 2008.12.08. 21:20:20

Ezt reszletezned? Erdekelne, hogy a csöpp Oracle parancsot ugyan hova irnad be?

*szkeptikus*

depth 2008.12.08. 21:31:40

A terminal sessionbol kijonni egyszeru feladat.
Aztan csinalsz egy command line-t vagy egy teljes desktopot.
Folytassam?

r@ek (törölt) 2008.12.08. 21:32:06

Na most olvastam vegig a sztorit. Ez egy sima google skiddie. Mondhatni láma.

r@ek (törölt) 2008.12.08. 21:35:42

Folytasd kerlek. Hogy csinalsz mondjuk egy command line-t amikor van egy desktopod, amire se ikont, se batch fajlt, semmit nem tehetsz ki, scriptek futtatasa tiltva, full patchelt szerver, de hogy leegyszerusitsem:

Van egy start menü --> kijelentkezesed es szevasz.

Na, ha ebbol kijossz egy terminalszerveres bejelentkezesen keresztul, en most azonnal kiugrom az ablakon.


p.s.: 0-day nem ér! ;-)

hmls 2008.12.08. 21:37:00

"Mondhatni láma."

A "rendszergazdára" gondolsz?

depth 2008.12.08. 21:40:32

Ugorhatsz az ablakon :)
Csak a windows mukodesere/fajlkezelesre kell gondolni...
Nem fogom itt leirni a dolgokat, mert nem vagyok tisztaba azzal, hogy hany helyen mukodik meg igy.
De szerintem rengetegen kijatszottak, szoval kerdezgess egyetemistakat...
Meg szerintem ha neten rakeresel lesz tutorial.

r@ek (törölt) 2008.12.08. 21:45:28

Mindketto egy balfasz. Az egyik azert, mert nem kepes elvegezni a feladatat, a masik meg azert, mert mazlija volt es most eloadja magat, hogy o a jani.

Roppant izgalmas hack lehetett:

intitle:index.of *.vein.hu


Tud valamit a srac...

EQ · http://rycon.hu 2008.12.08. 21:48:13

el vagy pöppet tévedve :) látszik h előitélettel ovlastad az egészet. A cikk arról szól h kint volt neten mindenkinejk elérhetően, nem arról hogy valaki megtörte...

r@ek (törölt) 2008.12.08. 21:49:13

Aham.. Hat ez harmatgyenge. Mindig ez a biztos van ra tutorial...

Nincsen, mert ez egy netto baromsag. Ha tudnad mondanad.

Apropo, emlitettem mar, hogy epp most fejeztem be az uj linux kernel exploitomat? En is tudok am trukkoket! Na most vagy elhiszed vagy nem. Lenyeg, hogy ugy tunjon en vagyok a Nagy Oreg.

r@ek (törölt) 2008.12.08. 21:50:16

@eq: Ez OK, de a stilus ahogy eloadja! Aaaargh!

hmls 2008.12.08. 21:50:48

fiveeeee: Nem ismerem aki csinálta, nem azért védem, de egy szóval nem mondta, hogy bármiféle hack lenne a háttérben, sőt tiltakozik is az ellen, hogy így hozzák le a hírportálok.

r@ek (törölt) 2008.12.08. 21:51:35

"Csak a windows mukodesere/fajlkezelesre kell gondolni..."

En csak egy jo kis restrictive group policyra tudok gondolni.

r@ek (törölt) 2008.12.08. 21:52:30

@hmls: Akkor valamit felreertettem, sorry.

r@ek (törölt) 2008.12.08. 21:57:09

@depth: Felreertes ne essek, nem kotekedni akarok, csak en is uzemeltetek terminalszervert es ezert furcsallom a dolgot. Torni is probaltam igy-ugy-amugy, ezert hihetetlen szamomra, hogy ha mezei userkent megfeleloen beallitott group policyval kapcsolodsz honnan szerzel parancssort.

EQ · http://rycon.hu 2008.12.08. 22:18:42

tudtommal win alatt bármi lefut ha megfelelő a neve, elérés nem érdekes, pl explorer.exe ?

synapse 2008.12.08. 22:31:44

A regi szep idok, amikor meg lehetett passzianszozni a neptunon :)

A cikk mellesleg egy semmi, en kb itt szartam be:
"( UPDATE: már titkosította a könyvtárat)"

titkositotta... Ok, menjunk tovabb.

"Megköszönitek, hogy ilyen kurva jó fej vagyok."

Ja, gondolom mindenki meg is fogja. Engem kicsit zavar a leet haxxor stilusa. Nezzunk utana kicsit...

Interesting ports on konya.lanten.hu (212.52.167.63):
Not shown: 1700 closed ports
PORT STATE SERVICE VERSION
1/tcp open tcpwrapped
21/tcp open ftp PureFTPd
22/tcp open ssh OpenSSH 4.3 (protocol 2.0)
25/tcp open smtp Exim smtpd 4.69
53/tcp open domain
80/tcp open http Apache httpd 2.2.9 ((Unix) mod_ssl/2.2.9 OpenSSL/0.9.8b mod_bwlimited/1.4)
110/tcp open pop3 Courier pop3d
111/tcp open tcpwrapped
143/tcp open imap Courier Imapd (released 2008)
443/tcp open http Apache httpd 2.2.9 ((Unix) mod_ssl/2.2.9 OpenSSL/0.9.8b mod_bwlimited/1.4)
465/tcp open ssl/smtp Exim smtpd 4.69
993/tcp open ssl/imap Courier Imapd (released 2008)
995/tcp open ssl/pop3 Courier pop3d
3306/tcp open mysql MySQL (unauthorized)

generator: WordPress 2.6
cpanel: jezusszive.crpl.hu:2095/

Ez az ember egy vicc. A fingos fajtabol...

synapse

synapse 2008.12.08. 22:33:00

win alatt neptun.exe lefut, mivel win case-insensitive, igy a cmd.exe Neptun.exe-re atnevezve is.

BTW probaltatok mar leet speak-ben irni blog.hu-ra? Nem engedi a szpemszuro :)

synapse

EQ · http://rycon.hu 2008.12.08. 23:19:21

nem véletlenül nem írtam konkrétumot synapse :)
Btw tévedtem, azthittem az a cikk van itt ami a readerben, de nem. Szóval így már értem miért fikázzátok a stílust :)

udi 2008.12.08. 23:20:45

Engedélyezet directory listing, az. Leet haxor, és még csak nem is ő találta, hanem nyúlja.

A "letitkosította", az nekem is kibökte a szemem.

szánalom.

_Lord_B_ 2008.12.09. 01:08:55

Még kinn van valahol a cucc, miroron, valamilyen casheben? google mar torolte ha jol latom, csak erdekelne, hogy benne vagyok-e :)

deejayy · http://deejayy.hu/ 2008.12.09. 07:38:08

@fiveeeee: annyit mondanék, hogy a "hírek szerint" a neptun binárisaiban (a régiben) benne vannak az adatbázis hozzáférési adatai. Se nem vagyok windozos, se nem tartom magam security szagértőnek, de nekem is sikerült ablakot nyitnom.

V8 2008.12.09. 11:26:59

A dump netre kerülésétől függetlenül azért milyen már az, hogy a neptun jelszó bekerül bármilyen módon is a kollégium adatbázisába??? (A plain text jelszótárolásról már nem is beszélek...)

Egy nem túl barátságos felelősségrevonás mindenképp járna a rendszer készítőjének (is)...

_Lord_B_ 2008.12.09. 12:29:10

V8: Nem a neptun pass került be az adatbázisba, hanem attól független jelszó amit valószinüleg sokan a neptunban is használtak.
a plain textként tárolt jelszó pedig felháboritó...

V8 2008.12.09. 12:39:54

@_Lord_B_

OK, számomra a cikkből ez nem derült ki. Ettől függetlenül a rendszergazdát és a rendszer fejlesztőjét is el kéne tiltani jó hosszú időre bármilyen informatikai jellegű munkától...

sydd 2008.12.09. 14:03:53

öhömm a régi Neptunnal máshol is voltak mókázások, egy bizonyos egyetem hallgatói vhogy admin jogot szereztek rá, aztán valahogy a elkezdetek megjelenni a neptunban olyan tárgyak is megcsinálva, ami felé se nézett+ az adott társaság átlaga is egyre jobb lett....amíg észre nem vették és ki nem rugták őket hehe

Zoli 2008.12.10. 09:00:14

jezusszive.crpl.hu/adatvesztesi-botrany-osszefoglalo/

Egy mókás részlet:
Az egyetem “szakemberei” úgy oldották meg a neptun jelszóhoz kapcsolódó aggályos körülményeket, hogy mindenkinek a születési dátumára állították vissza a jelszót. Igazuk van, így már egy iwiw is elég a neptun “feltöréséhez.”

Részlet az origóról, aki az MTI alapján írta okosságait:
A közlemény szerint a szerveren a támadás során a behatoló biztonsági fájlokat törölt, így válhatott az adatbázis szabadon hozzáférhetővé az interneten keresztül. A PE szerint miután ez kiderült, "a rendszergazda azonnal megtette a szükséges védelmi intézkedéseket, haladéktalanul gondoskodott arról, hogy az adatok a továbbiakban ne legyenek elérhetők illetéktelen személyek számára."

....

Az MTI beszámolója szerint egy honlapról értesült az egyetem vezetése kedden arról, hogy az adatlopást a "Jézus Szíve Partizánbrigád" vállalta magára, s állítólag a kollégiumi jelentkezéssel kapcsolatos adatbázist "kapták el" (amit később a hivatalos közlemény is igazolt).

Újságírás mesterfokon...

31415 2008.12.11. 09:17:00

Igazibol a sok-sok hujeseg kozul a plaintext jelszavak a legzavarobbak szerintem. De hogy ez nem csak egyetemi korokben van igy:
CIB bankba mentem be jelszovaltoztatasra, mert elfelejtettem (a rendszer nem fogadta el) a jelszavamat. Beszelgetes:
Ugyintezo: Megmondja mi a jelszavam?
En: Inkabb megvaltoztatom arra, amirol azt hittem, hogy most is az.
Megvaltoztatas utan ugyintezo mosolyog:
"Nem ez volt."

Es EZ EGY BANK!!! Ahol cegek szamlait is vezetiok! Es nincs sms-es visszaigazolo kod a tranzakciok elott!

OkoskoDó 2008.12.12. 10:53:45

31415: Azért ez túl durva lenne.. Szerintem valamilyen hashben van titkosítva a jelszó. Te mondtál egy jelszót, generált rá neked egy hasht és az új hash nem egyezett a régivel.

Komolyan beszarás lenne ha egy bank plain textben tárolná a jelszavakat.


A születési dátumra való jelszóváltoztatás tényleg nem vall nagy észre. Mi mindenre jó az iWiW :) Főleg hogy még az is benne lehet a pakliban hogy tudod a barátod születési dátumát. Jó ez hülyeség mert barátok nem b*sznak ki egymással de most na :)

synapse 2008.12.12. 11:45:37

OkoskoDó:

Pedig van ilyen, nekem multkor mondta, hogy a szamok stimmeltek, csak rossz volt a sorrend...

Egyebkent meg szul. datumnal ne legyen fajo kiporgetni a cirka 3*365 variaciot (+- 1 ev) :)

synapse