Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Valasztas.hu - Frissítve

2010.02.23. 10:58 | buherator | 20 komment

Meister küldte az infót, hogy a kurucok "meghekkelték" a valasztas.hu-t, közben pedig arról is jöttek hírek, hogy kisebb médiahiszti van készülőben az üggyel kapcsolatban. 

A radikális portálon belinkelt oldalak nem valódi deface-ek, csak néhány egyszerű reflektív XSS sebezhetőségeknek köszönhetően lehet nem odaillő tartalmat juttatni a látogatók böngészőjébe - tehát a valasztas.hu-n tárolt adatokhoz ilyen módon nem lehet hozzáférni. Ezek hibák még esetleg adathalász illetve social engineering támadásokhoz nyújthatnak segítséget. Mindazonáltal vannak olyan árulkodó jelek (pl. www nélkül már nem elérhető a site, stylesheetek URL-ben átadva...), amelyek arra utalnak, hogy komolyabb problémák is lehetnek a rendszerben. Az illetékeseknek azt javasolnám, hogy legyenek résen, és esetleg húzzanak fel valamilyen webalkalmazás-tűzfalat.

Frissítés:

- Az Indexnek megint sikerült nagyot alkotnia. 

- Korrigáltak. A negatív kredit egyébként valószínűleg inkább a független hírügynökségnek járna (az más kérdés, hogy miért kell nekik mindig mindent elhinni)

- HVG.hu :P

- B$H küldte el (billsuxx nyomán) a linkjét ennek a HUP szálnak, amiben foofighter sokkal érdekesebb dolgokra bukkant, pl. erre az Oracle elérést tartalmazó fájlra, no comment...

- Frissült a kuruc.info is. A Zipp.hu-s számok hitelességéről nem győződtem meg, de azért nem lennék meglepve...

Megjelent az OVI hivatalos közleménye is, jééj:

Ma hajnalban egy internetes oldalon megjelent cikk szerint „Meghekkeltük a www.valasztas.hu-t”. A hekkelést bizonyítandó 5 linket tettek közzé.

Az eset kivizsgálása során kiderült, hogy a valasztas.hu szerverére semmilyen behatolás nem történt. A támadó áloldalakat hozott létre, amelyek azt a látszatot keltették, mintha a www.valasztas.hu oldal részei lennének.

Ez a fajta támadói megoldás hasonlatos más rendszerekkel szemben alkalmazott álelérési út terjesztésével. [WTF?]

Annak érdekében, hogy kiküszöböljük a valasztas.hu adatainak későbbi hasonló, az érdeklődők megtévesztésére alkalmas átvételét, átmenetileg leállításra került a honlap egy része, amely a szükséges beavatkozás után újraindul.

A visszaélés miatt az üzemeltetővel közösen feljelentést teszünk.

Arra mondjuk kíváncsi vagyok, hogy mi alapján tesznek feljelentést...

Végül a teljes inkompetencia ékes bizonyítéka (hivatalos közlemény a honlapról):

Felhívjuk kedves látogatóink figyelmét, hogy a www.valasztas.hu honlap egyes oldalaihoz megjelenésében hasonló, de tartalmában módosított adatokat feltüntető, hamis oldalak jelentek meg az interneten. Ez a – banki adatlopásokat célzó megoldásokhoz hasonló – másolás honlapunk adattartalmát semmilyen formában nem befolyásolja.
Annak érdekében, hogy Ön mindig az általunk közzétett, korrekt információkat láthassa, javasoljuk, hogy kizárólag a www.valasztas.hu honlapon, illetőleg az onnan nyíló menüpontokban, linkeken tájékozódjon a választásokkal kapcsolatos tudnivalókról.
A honlapunkról származó adatok további felhasználásáért felelősséget nem vállalunk. A jogsértő tevékenységekkel szemben a szükséges jogi lépéseket megtesszük.

Címkék: politika incidens xss valasztas.hu

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Meister · https://www.facebook.com/Meister1977 2010.02.23. 11:44:51

Index nevetséges. Írtam nekik, hátha korrigálnak, de nem hiszem. Megírtam nekik, hogy ez nem feltörés, hanem olyan, mintha küldenék valakinek egy linket, hogy index.hu/beszoptad , és erre a nyitólapon a főcím az lenne, hogy beszoptad. :-)

RtT · http://h4ck3r.blog.hu/ 2010.02.23. 12:13:41

Átlag olvasó meg arra következtet , hogy köcsög hackerek megint törtek..

br · http://www.szalaiannamaria.net 2010.02.23. 14:20:23

Feljelentés :DDD

Az oracle cucc viszont gáz.

Conv · http://www.i-honlapkeszites.hu 2010.02.23. 14:41:05

Van ott azon az egymilliárdos "rendszeren" más érdekesség is, mint az oracle elérési útja, mert ehhez azért nem kell a fájl, aki ismeri az oracle-s rendszereket könnyen ki lehet találni, egyszerű firefoxos kiegészítőkkel megoldható eszközökkel.

Az viszont, hogy egymilliárdos oldalon ilyen lúzer megoldások vannak, az elég sok mindent mutat, csak szakértelmet nem.

Sem ez elkészítés, sem az üzemeltetés, karbantartás szintjén.

Egymilliárdért frameszerkezet és iframe. Na ez az üzleti érzék :)

asztrografológus 2010.02.23. 15:49:38

998 milliót megint lopott valaki Abszurdisztánban...

brlv24 2010.02.23. 16:05:43

"jdbc:oracle:thin:@172.31.100.104:1521:EKPD","valtort","valtort"

Hejjhajj:)
De hogy meg rendes jelszo policy-juk sincs, az nagyon durva.

Meister · https://www.facebook.com/Meister1977 2010.02.23. 17:17:21

@brlv24: kérdés mi ez a valtort szerver, mert lehet éppen "választás, tört" rövidítése, ami jelentheti mondjuk, hogy ez egy korábban megtört állapot mentése. Bár hogy az meg miért publikus, az jó kérdés.

Egyébként most ez a szöveg van kint a valasztas.hu-n, szemenszedett csúsztatás:

Felhívjuk kedves látogatóink figyelmét, hogy a www.valasztas.hu honlap egyes oldalaihoz megjelenésében hasonló, de tartalmában módosított adatokat feltüntető, hamis oldalak jelentek meg az interneten. Ez a – banki adatlopásokat célzó megoldásokhoz hasonló – másolás honlapunk adattartalmát semmilyen formában nem befolyásolja.
Annak érdekében, hogy Ön mindig az általunk közzétett, korrekt információkat láthassa, javasoljuk, hogy kizárólag a www.valasztas.hu honlapon, illetőleg az onnan nyíló menüpontokban, linkeken tájékozódjon a választásokkal kapcsolatos tudnivalókról.
A honlapunkról származó adatok további felhasználásáért felelősséget nem vállalunk. A jogsértő tevékenységekkel szemben a szükséges jogi lépéseket megtesszük.

Országos Választási Iroda

kuki123 2010.02.23. 17:18:49

@asztrografológus: én 999,900-ra tippelek...90ezerből meg megcsinálta valami 14 éves

kuki123 2010.02.23. 17:21:17

@Meister:
az azért érdekes mert a valódi adatokat nem változtatták meg
sőt másik szerver sem létezik

"Ez a – banki adatlopásokat célzó megoldásokhoz hasonló – másolás honlapunk adattartalmát semmilyen formában nem befolyásolja."

Technikailag nem igazi feltörésről vagy hackelésről van szó, maga a weboldal volt rosszul megírva, ezt használta ki a támadó. A honlap címében ugyanis volt egy "NEV" változó, aminek a tartalma megjelent a honlapon. Így nagy szakértelem nem kellett a feltörés látszatához: ha valaki egy böngésző sorában az oldal címébe beírta például azt, hogy NEV="vérmókus", akkor a "vérmókus" szó jelent meg a pártok neve helyett.

buherator · http://buhera.blog.hu 2010.02.23. 17:22:39

@Meister: A valtort az a választástörténet (történelem?) rövidítése -> valtort.valasztas.hu

De igazából tök mindegy hogy milyen adatokat tárolnak abban az adatbázisban, mert ha már be tudok lépni arra a szerverre, akkor jó eséllyel enyém a fél hálózat. Ezért vannak a belső password policy-k (jobb helyeken).

Ez az idézet meg überdurva!

buherator · http://buhera.blog.hu 2010.02.23. 17:25:48

@volánrulz: Ezek az adatok egy belső hálózaton ülő gépre vonatkoznak, amit (optimális esetben) nem érsz el az Internetről. A kurucok erről valószínűleg nem is tudtak, ha mégis, akkor sem sikerült eljutniuk az adott szegmansig.

SH4RK 2010.02.23. 17:59:02

Úgy látom, már csak a google cache-ben él a fájl... Még jó, hogy erre már képesek voltak reagálni. Még a végén a jelszót is megváltoztatják!

Suicide Soldier 2010.02.23. 18:47:10

Könyörgöm, itt nem történt másolás. Mindössze a NEV változót írták át akármi másra - de a valasztas.hu írta ki, amit ki kellett - phishingnél mondjuk www.vlasztas.hu domain lett volna, ami másolás.

nyilván kipróbálták, bejött.

blogkommenter 2010.02.23. 20:36:58

Buhera blog nevesítve a kuruc.info-n:

kuruc.info/r/52/55658/

_2501 2010.02.23. 22:09:34

hmm hmm... érdekes... ahogy beesik valami közbeszerzéses vagy vastag költségvetésű téma, egyből mindenki rárabol.
miért van ez?

|Z| 2010.02.24. 09:10:23

Szerintem ha valaki legközelebb csinál egy képernyőmentést egy oldalról, majd photoshop-ban "deface"-eli, végül publikálja, azt is bekajálja majd a média :)

synapse · http://www.synsecblog.com 2010.02.24. 09:43:57

Na erre annyit mondanek hogy tipikus magyar kozbeszerzes. Nem hiszem el, hogy nem lehetne erre megoldast talalni es az ilyen kozonseges tolvajoknak a kezet barddal levagni. (Meg annak is aki az oldalt irta...)

synapse

Meister · https://www.facebook.com/Meister1977 2010.03.03. 23:14:28

Ezt olvastátok már?
Innen a végéről:
www.valasztas.hu/hu/ovb/content/of/20100225.pdf

6. Honlappal kapcsolatos tájékoztatás
Dr. Bordás Vilmos OVB tag
Még lenne annyi kérdésem, hogy itt, legalábbis csak az újságokból értesültem arról, hogy az
OVB, vagy az OVB honlapja ellen ilyen hacker támadás történt, ezzel kapcsolatban azért az
Irodától hallanánk valamit, azt megköszönnénk. Köszönöm.
Dr. Jackli Tamás OVI munkatárs
Tisztelt Bizottság! Hétköznapi nyelven hacker-támadásnak hívták, de a valóságban errl nem
volt szó, a rendszerbe nem léptek be. A honlap bizonyos adatait átírták, és ez alapján azt a
látszatot keltették, mintha a valasztas.hu honlapon ezek az adatok szerepelnének. De az „álhonlap”
csak a linkeken keresztül volt elérhet. Tehát a valasztas.hu honlapon ezeket az
adatokat nem lehetett megtalálni, hanem csak az illetéktelen behatoló honlapján elhelyezett
linkekkel jutottak el emberek olyan oldalra, ami úgy tnt, minthogyha a valasztas.hu lenne.
Ugyanazokat a képi elemeket tartalmazta, párhuzamban voltak az adatok, hogy hány jelölt
van, meg egyebek, de egyébként a valasztas.hu rendszerébe internetes honlapba nem tudtak
bejutni. Magát a rendszert sérelem nem érte. Nyilvánvalóan ez képileg azonos megjelenéssel
megtévesztette a választópolgárokat, illetve bárkit, és azt a benyomást keltette mintha a
rendszerhez hozzá lehetett volna férni.
Dr. Szigeti Péter OVB elnök
Tehát egy pandantot generált, amit a kurucz.info.-on keresztül lehetett elérni, és nem a
valasztas.hu-n. Halmai Gáboré a szó.
Dr. Halmai Gábor OVB elnökhelyettes
Köszönöm szépen. Két kérdésem lenne ezzel kapcsolatban. Az egyik kérdésem az, hogy mi
volt az a plusz információ, amit ilyen módon feltettek? A másik pedig az, hogy ez akkor miért
is igényelte az eredeti honlapnak a leállítását?
Dr. Jackli Tamás OVI munkatárs
A plusz információ az például bizonyos jelöl szervezetek nevének a megváltoztatása volt,
nem a mi honlapunkon, hanem ezen a pandant honlapon. Azért kellett leállítani az eredeti
honlapot, mert els pillanatban, csak a szemrevételezés alapján az eltérést lehetett észlelni,
tehát kellett id, amíg a biztonsági ellenrzése megtörtént a honlapnak, hogy ténylegesen
milyen terjedelm volt a hozzáférés, illetve volt-
süti beállítások módosítása