Olvasói reakciók a cikk alján.
Mint ismeretes, a Kuruc.info megviccelte az OVI honlapját, egy kis médiahacket vittünk véghez, amelyből hatalmas botrány lett.
A nagyjából egymilliárd forintból létrehozott (valójában ellopott) választási honlap aloldalainak linkje ilyen primitív szerkezetű volt: valasztas.hu/akarmi.jsp&NEV=Magyar Szocialista Párt. Ha a link végét átírjuk, például arra, hogy ...&NEV=Balf@sz szocik, és így beütjük azt a böngészőbe, akkor ez szöveg jelenik meg a párt neve helyett az OVI honlapján, a jelöltállítási lista felett - ennyi lenne tehát a "brutális és durva támadás"... Azt azonban jól mutatja, hogy százmilliókból milyen gagyi oldalt létesítettek, míg mondjuk a Kuruc.infót fennállása óta egyszer sem törték fel, noha mi egy garázsból indultunk, anyagi lehetőségeink nagyon szűkösek és állandó üldöztetés mellett működünk.
Miután néhány vicces linket közzétettünk, hatalmas fejetlenség lett úrrá az OVI-nál: lekapcsolták az egész honlapot, így az közel fél órára elérhetetlen volt, nem lehetett pl. megnézni azt sem, hogy melyik párt hogy áll a kopogtatókkal... Röhejes ez az egész, avagy ilyen a szocionista színvonal és szakértelem.
Közben úgy-ahogy javították a hibát, ki tudja mit ügyködtek a háttérben... Egy olvasónk jelezte, illetve több blogban a hozzászólásokban leírta néhány számítástechnikában járatos ember, hogy az OVI annyira amatőr és béna volt, hogy egy ideig elérhető volt az adatbázis-szerver IP-címe, neve és az ahhoz tartozó felhasználónév és jelszó is...
Felhasználónév: valtort
Jelszó: valtort
Az IP-cím sajnos nem jutott el hozzánk...
Hogy mi volt rajta, azt nem tudjuk, mi nem értünk ehhez, várjuk hozzáértő olvasóink reakcióját. Egyúttal jelezzük az illetékeseknek, hogy nem ártana az ilyen hibákat javítani, mielőtt illetéktelenek fontos információkhoz jutnak hozzá vagy komoly károkat okoznak.
Ennek az egész ügynek következménye is kell legyen, mert aki jelszónak ugyanazt adja meg, mint ami a felhasználónév, nos, azt a nyomorékot jobb időkben ledobták a Tajgetoszról. A szocialista kormány ma pedig programozóként alkalmazza...
Az alábbi oldalon is ezzel foglalkoznak: http://hup.hu/node/83488#comment-963913
Itt pedig a google mutatja a tárolt változatot néhány dologról, ami informatikában jártasoknak érdekes lehet.
Magyari Gábor - Kuruc.info
Olvasó: Sziasztok! Az IP-cím ez volt: http://172.31.100.104:1521 (a cím a 1521-es portól volt megnyitható, ORACLE SQL adatbázis-szerverként). Jelenleg nem elérhető (itt ellenőrizhető: http://www.geobytes.com/IpLocator.htm?GetLocation)
Másik olvasónk kiegészítése: A 172-vel kezdődő címek olyan IP-címek, amik nem érhetők el az interneten. Tehát nem publikus IP-címek, hanem olyanok, amiket belső hálózaton lehet csak használni.
Harmadik olvasók levele a témában: Az, hogy megjelent a neten az adatbázishoz tartozó felhasználónév és jelszó, ill. magának az adatbázis szerverének az IP-címe, az elég durván hangzik, de azért nem eszik olyan forrón a kását (és most itt tekintsünk el a jelszó bonyolultságától, illetve attól, hogy az megegyezik a felhasználónévvel. Bár ez is megérne egy (inkább több) misét, de nem akarok regényt írni, legyen elég annyi, hogy jobb helyeken egy ilyenért nyilvános kerékbetörés "jár"!)
Normál esetben egy publikus szolgáltatást nyújtó rendszer (pl: honlap, az azt kiszolgáló háttér-adatbázisok, stb.) a következőképpen épül fel:
1. A tulajdonképpeni kérések nem közvetlenül a webkiszolgálóra érkeznek, hanem a határvédelmi eszközre (gyk. tűzfal). Ez (rengeteg szempont alapján) elemzi a kérést és továbbítja a megfelelő helyre. Fontos leszögezni, hogy maguk a szolgáltatást nyújtó gépek a tűzfal mögött helyezkednek el és az internet felőli oldalról rejtve vannak, egyszerűen azáltal, hogy olyan IP-címet kapnak, ami az interneten nem érvényes (például a jól bevált, 192.168.x.x címek ilyenek), így közvetlenül nem lehet rájuk hivatkozni. Hogy a dolgok mégis működnek, annak a NAT (Network Address Translation azaz hálózati címfordítás) az oka, amit most nem fejtenék ki bővebben.
Normál helyen a tűzfal mögötti hálózati részt is további szegmensekre osztják. Tipikusan ezek egyike a DMZ (Demilitrzied Zone vagyis demilitarizált zóna), melynek lényege, hogy a publikus szolgáltatásokat élesen elkülönítik a "belső hálózat" többi részéről, így (a megfelelő forgalomszűréssel) amennyiben kompromittálódik egy kiszolgáló (magyarán feltörik), izolálva van és nem jelenthet fenyegetést a többi gépre nézve.
Megint csak alapvető, hogy ha a honlap a tartalmát egy adatbázisból "szedi", akkor ezeket is külön zónába helyezik, és olyan forgalmi szabályokat állítanak fel, hogy az adatbázishoz csak a webkiszolgáló férjen hozzá, így megakadályozva azt, hogy direkt lehessen machinálni magával az adatbázis tartalmával.
A fentiek azért fontosak, mert hiába kerül ki az adatbázishoz tartozó felhasználónév és jelszó párosa, ill. az IP-címe a netre, egyszerűen nincs olyan felület ahová begépelhetnénk a jelszót, és mint ahogy fent említettem, nem lehetséges közvetlenül hivatkozni az adatbázisra.
Szerény véleményem szerint egy olyan rendszer, ami annyira gagyi, hogy egy ilyen URL-es trükköt el lehet vele játszani, az nagy valószínűséggel a fentebb felsorolt alapvető biztonsági technikákat sem állítja csatasorba, azaz szabad a gazda, tehát az egész rendszer sebezhető.
Nyilván ezt a rendszert is a beltenyészet jegyében és a demokrácia nagyobb dicsőségére a párttitkár elvtárs kisunokája hozta tető alá és üzemelteti azóta is, nyilván nagyon jó pénzért.
Amennyiben levelem egészét vagy részeit arra érdemesnek találják, publikálják bátran.
Szebb jövőt kívánva,
Egy hűséges olvasójuk
Normál esetben egy publikus szolgáltatást nyújtó rendszer (pl: honlap, az azt kiszolgáló háttér-adatbázisok, stb.) a következőképpen épül fel:
1. A tulajdonképpeni kérések nem közvetlenül a webkiszolgálóra érkeznek, hanem a határvédelmi eszközre (gyk. tűzfal). Ez (rengeteg szempont alapján) elemzi a kérést és továbbítja a megfelelő helyre. Fontos leszögezni, hogy maguk a szolgáltatást nyújtó gépek a tűzfal mögött helyezkednek el és az internet felőli oldalról rejtve vannak, egyszerűen azáltal, hogy olyan IP-címet kapnak, ami az interneten nem érvényes (például a jól bevált, 192.168.x.x címek ilyenek), így közvetlenül nem lehet rájuk hivatkozni. Hogy a dolgok mégis működnek, annak a NAT (Network Address Translation azaz hálózati címfordítás) az oka, amit most nem fejtenék ki bővebben.
Normál helyen a tűzfal mögötti hálózati részt is további szegmensekre osztják. Tipikusan ezek egyike a DMZ (Demilitrzied Zone vagyis demilitarizált zóna), melynek lényege, hogy a publikus szolgáltatásokat élesen elkülönítik a "belső hálózat" többi részéről, így (a megfelelő forgalomszűréssel) amennyiben kompromittálódik egy kiszolgáló (magyarán feltörik), izolálva van és nem jelenthet fenyegetést a többi gépre nézve.
Megint csak alapvető, hogy ha a honlap a tartalmát egy adatbázisból "szedi", akkor ezeket is külön zónába helyezik, és olyan forgalmi szabályokat állítanak fel, hogy az adatbázishoz csak a webkiszolgáló férjen hozzá, így megakadályozva azt, hogy direkt lehessen machinálni magával az adatbázis tartalmával.
A fentiek azért fontosak, mert hiába kerül ki az adatbázishoz tartozó felhasználónév és jelszó párosa, ill. az IP-címe a netre, egyszerűen nincs olyan felület ahová begépelhetnénk a jelszót, és mint ahogy fent említettem, nem lehetséges közvetlenül hivatkozni az adatbázisra.
Szerény véleményem szerint egy olyan rendszer, ami annyira gagyi, hogy egy ilyen URL-es trükköt el lehet vele játszani, az nagy valószínűséggel a fentebb felsorolt alapvető biztonsági technikákat sem állítja csatasorba, azaz szabad a gazda, tehát az egész rendszer sebezhető.
Nyilván ezt a rendszert is a beltenyészet jegyében és a demokrácia nagyobb dicsőségére a párttitkár elvtárs kisunokája hozta tető alá és üzemelteti azóta is, nyilván nagyon jó pénzért.
Amennyiben levelem egészét vagy részeit arra érdemesnek találják, publikálják bátran.
Szebb jövőt kívánva,
Egy hűséges olvasójuk
