שיחה ההאקר Emad
11 באוגוסט 2012 – 21:50 | 31 תגובות

קבוצת ההאקרים הפועלת תחת שמו של אימעד מורניה, RememberEmad, ופרסמה כי פרצה לשרתי חברת ההוסטינג WebGate, פרסמה היום קובץ נוסף ובו כ-500 פרטים נוספים ובהם שמות משתמש וסיסמאות של אתרים שאוחסנו ב-WebGate. נראה כי העימות בן קבוצת …

המשך קריאה »
geek

חנון זה מגניב. תרבות החיים האינטרנטית-טכנולוגית-גאדג'טית. הדברים שמבדילים את הנערים מהגברים.

הרשת

סיפורים מהרשת, בעיקר זו הישראלית. מה קורה, מי קורה ולמה קורה.

וורדפרס

בעיקר תבניות מתורגמות לעברית ולפעמים דברים שקשורים לבלוגים ובלוגרים.

מערכות ניהול תוכן

על מערכות ניהול תוכן באינטרנט, בעיקר חינמיות ובעיקר בעברית. כלים לבניית אתרים, פורומים, גלריות ועוד.

פלטפורמות חברתיות

על רשתות חברתיות, כלים לבניית רשתות ופלטפורמות חברתיות וכל מה מכונה web 2.0

ראשי » הרשת, פלטפורמות חברתיות

האקר פרץ לחשבונות בקפה דה מרקר

מאת ארז וולף בתאריך 19 בספטמבר 2007 – 1:5115 תגובות

הכותרת למעלה היתה יכולה להיות הכותרת מחר במדורי המחשבים (אתם מכירים אותם, הם אוהבים להגזים).
לפני יומיים כתבתי (ולא פרסמתי) פוסט שהסביר על תקלה מאד סתמית במערכת של דקס עליה בנויה הרשת החברתית  TheMarker Cafe, אשר מאפשרת 'לבלבל' את המערכת כך שתחשוב שהנך משתמש אחר ולצפות בחלק (לא גדול) של פרטים שאמורים להיות חסומים.

בבדיקה שעשיתי ראיתי שהאפשרות היתה קיימת גם ב-dex.co.il ואני משער שהיא היתה אפשרית בכל האתרים מבוססי dex (קפה דה מרקר, dex.co.il, בואנה, בנות, קוקה קולה, one, Triviaonet ואני מצטער אם שכחתי משהו).

אתמול בערב שלחתי מייל לחברה' בדקס והתרעתי על העניין ואמרתי שאני מעכב את פרסום הפוסט כדי שיהיה ניתן לטפל בנושא וביקשתי לדעת האם יש כוונה לטפל ותוך כמה זמן והאם יטופל בכל הדקסיות.

לא קיבלתי התייחסות אבל בבדיקה שעשיתי עוד אתמול בלילה היה נראה שהנושא טופל.

היום קיבלתי מייל מאסף גנדלר מ-DEX (מנכ"ל משותף) שהודה לי על פנייתי וציין כי בעקבות באג באחד מהמנגנונים של האתר היה ניתן לראות חלק מהפרטים בחשבונות אחרים והרגיע שלא מדובר בבעיית אבטחה משמעותית וציין שהתקלה תוקנה בכל המערכות שלהם.

 (באג? באמת? באיזה אתר? בקפה? בדקס? באחד מהאחרים?)

אתמול הקפה לא היה זמין בלילה, צירוף מקרים. לא מדובר בתיקון ה"באג" אלא בשידרוג חומרה מתוכנן. אגב, למיטב ידיעתי, בקפה לא ידעו על ה"באג" וגם לא ידעו על התיקון (אין צורך להטריד אותם בשטויות כאלו).

בנימה אישית, יש לי הרבה כבוד לחברה' בדקס אני לא בא להתקוטט עם אף אחד ואני מכבד את התשובה של אסף. אני גם אוהב את הקפה (וממש לא אכפת לי מה אתם חושבים עליו). אני שמח שהבעיה טופלה ולא עניין אותי לרוץ לגלובס או לפרסם פוסט עם תמונות מתוך חשבונות של אדם, יונתן ואסף (ולקבל הזמנה לבית משפט). לשאלה אם בכלל להתייחס בבלוג למה שהיה: בכל זאת, בדקתי, יצרתי קשר ופעלתי במסגרת הבלוג שלי ולכן נראה לי נכון לספר את הסיפור.

את מי שמענין איך היה ניתן להכנס לחשבונות של משתמשים בקפה, או איך לערוך קוקיז (למרות שבתגובת  דקס נטען שה"באג" לא היה קשור למערכת הקוקיז) – ולמי שרוצה לעשות דיבאגינג למערכת של דקס, הנה חלקים מהפוסט המקורי:

17.9.07
….אתחיל מזה שאדגיש שאני ממש ממש לא האקר ולאור זאת, החור הוא באמת חור, לא משהו שצריך לחפש, זה פשוט שם. גם המילה "פריצה" קצת גדולה על זה, התועלת והדברים שאפשר לעשות בחשבון המשתמש האחר, מוגבלים (אני מניח…)

מי גנב ת'עוגיות
המערכת של DEX נמצאת בהרבה רשתות חברתיות בארץ ובאלו שבדקתי קיימת פרצת אבטחה שמאפשרת לראות פרטים מתוך חשבונות של משתמשים אחרים. הכל בעוגיות.

אין ידיים – אין עוגיות
חלק מהפרטים המזהים את המשתמש  אל מול האפליקציה, נשמרים בקוקיז על המחשב המקומי, בין הפרטים בקוקיז נשמר גם ה-ID של המשתמש. כשהמשתמש גולש באתר הוא מזוהה באמצעות הקוקיז, מספיק לערוך את הקוקיז כדי לבלבל את המערכת שתחשוב, במקומות מסויימים, שאתה מישהו אחר.

Look to the cookie Elaine
איך עורכים את הקוקיז בצורה פשוטה? עם התוסף לפיירפוקס Add N Edit Cookies, מאד קל ונוח. מורידים את קובץ התקנת התוסף למחשב ופותחים אותו באמצעות פיירפוקס. לאחר מכן תתווסף אפשרות לתפריט "כלים", בתחתית: cookie editor. לחיצה על אפשרות זו תפתח חלון אשר יציג את כל הקוקיז הפעילים. כאשר עומדים על אחת מהשורות ניתן ללחוץ בחלון על הכפתור "edit" ופשוט לערוך אותה.
כך זה נראה:

edit cookie

עוגי אוהב עוגיות
תהליך ההכנה
1. נכנסים לדף האישי ומסתכלים על ה-URL (כתובת הדף בו נמצאים  כרגע). בתוך הכתובת מופיע קוד המשתמש, נניח: 112233.
2. נכנסים לדף של משתמש אחר ומסתכלים על ה-URL. גם כאן יופיע קוד המשתמש, נניח 778899.
3. לוחצים על cookie editor בתפריט "כלים" מוצאים את השורות המתאימות (נדמה לי ש-i ו-blog) ועורכים את הקוקיז: במקום 112233 כותבים 778899, כלומר במקום ה-ID שלכם רושמים את ה-ID של המשתמש האחר ומבצעים שמירה.
כעת לוחצים בתפריט על "הדף שלי" וראה זה פלא, במקום להכנס לדף שלכם, תכנסו לדף של המשתמש האחר.

עכשיו ניתן להציץ ב"ביקרו אותי", ב"מי ביקרתי" ב"קהילות שלי" (אולי גם להכנס לקהילות חסומות שפתוחות לאותו משתמש, לא ניסיתי), אפשר לבקר אחרים עם המשתמש האחר (וזה ירשם אצלם כאילו הוא ביקר אותם)  ואם יעשה מחקר טיפה יותר לעומק, אולי לבצע דברים נוספים. לא בדקתי. שיגועים וצחוקים.

שווה עוגיה?
למה לא לעשות את זה? ראשית, כי זה לא מוסרי. שנית, כי זה לא חוקי. שלישית, אין בזה עניין אמיתי למעט אם אתה נודניק כמוני ורוצה להציק לגופים גדולים ברשת.

ותודה לנעה היקרה שהרשתה שאכנס לחשבון שלה כדי להסיק מסקנות על עוגיות.

[למען הסר כל ספק, במספר בדיקות שערכתי לאחר המייל מאסף נוכחתי לדעת שבעיית האבטחה תוקנה ואינה קיימת עוד]

קרא פוסטים נוספים בנושא זה:

שתף את הפוסט בטוויטר

15 תגובות »

  • מאת אורן:

    אהבתי את ההערה המצטענת בהתחלה, בה אתה טוען שאתה לא האקר מגניב אלא זו פשוט פרצה מגוחכת. (רבים במקומך היו מאדירים את שמם כהאקרים מן השורה הראשונה).

    לשמור מידע הזדהותי בקוקי זה חובבנות לשמה, דבר מאוד מאוד בסיסי שכל מפתח ווב טירון צריך לדעת.

    מה שנהוג זה לשמור בקוקי שדה סשן (שזה גיבוב של תווים אקראיים שהסיכוי לנחש מאוד קטן), אשר מצביעים למידע הרלוונטי בצד של השרת אליו אין לך גישה.

  • מאת מתן ריכמן:

    ארז יקר,
    עזוב אותך מבעיות של אחרים, תסיים כבר את המולטי פלאק :)
    אבל כל הכבוד שעלית על זה לפני שמישהו אחר היה מנצל זאת למטרות פחות טובות.

  • מאת טלי:

    ארז בחייך… :-)

    מוצא באגים בכל מיני מערכות… עזוב אותך משטויות, מתי תסיים לתרגם את phpizabi ??..

    סחטיין על מציאת הבאג, האמת זה ממש ניראה לא טוב ולא מחמיא להם בכלל.

  • מאת וולף ארז:

    חברים הממתינים לתרגומים: אם הייתי מתעסק רק בתרגום, הייתי מתחרפן.
    לגבי multipluck (מלנטה) – גמור אבל עובר עוד סדרה של בדיקות.
    לגבי phpIzabi – תרגמנו (ידידי ליאור ואנכי) 70% מהמערכת. ידידי דני מאור קיבל שלשום את הקבצים לידיו לסיום מלאכת התרגום (בהצלחה).

  • מאת מתן ריכמן:

    דרך אגב ארז, השם מלנטה סופי ?
    או שעדיין מחפש שם ?
    תמיד אפשר לקרוא למערכת "קלון-שיפ" :) (המבין יבין)
    טוב סתם צוחק, אין לי רעיון לשם אחר.

  • מאת ישי:

    אני יודע שזה נשמע פופוליסטי נורא, אבל בקפה יש בעיות אבטחה אמיתיות, ואפשר לעשות איתן נזק אמיתי.
    פעם ניסיתי לעשות משהו כדי שהם יתקנו, אבל היחס שלהם לעניין היה כל כך לא רציני, שבסוף התייאשתי.

    מילא.

  • מאת עמיר:

    הבאג המגוחך הזה קיים בהמון אתרים ישראלים.

  • ארז היקר,
    אתה יודע שאני חולה עליך,
    ואתה יודע שאני חולה על האקינג (למרות שאני לא כזה כמובן).
    ועם זאת למה לבזבז את הזמן על כוס קפה?
    הייתה מה זה עדין איתם…קודם כל זה הבאג הכי ישן בספר,
    http://tinyurl.com/23ej4k
    חבל שפשוט אין עקומת למידה פה לחבר'ה בדקס, והם לא קוראים חדשות.
    כל אחד שעשה לקפה דה מרקר שני לוג אינים שונים מייד היה עולה על זה….הבעיה עם קפה דה מרקר הרבה יותר חמורה והיא לא אחת בלבד. ואני באיפוק גדול לא להחריב להם את האתר במספר פעולות של לא מתכנת פשוט שכמוני…אבל אם הציבור יבקש יפה, אולי אכתוב על זה בעתיד פוסט…
    שאפו ארז,
    צביקה

  • מאת וולף ארז:

    צביקה, כבר דיברנו על זה הנושאים האלו בעבר ואני הנחתי שלא רק אתה ואני ראינו את הדברים (כלומר, משתמשים אחרים ומפתחי המערכת כבר ראו חלק מהבעיות) ולכן הנחתי שהעניינים האלו טופלו. חזרתי לבדוק חלק מהנושאים וגיליתי שזה עדיין שם.
    אני, להבדיל ממך, בעמדה פחות בעייתית לכתוב על הדברים אבל אני חושב שנכון שתוציא את המרצעים מהשקים. (ברוך שובך למולדת).
    אגב, גישה ישירה לתיקיות התמונות והמדיה טופלה (robot.txt ?).

  • תודה,
    האמת חוזר בי כנראה שבנתיים גם אם הציבור יבקש יפה אני לא אכתוב על זה…
    שומר את זה ליום הדין או לתיקון שלהם.
    פשוט זה פשוט מדי וגם ממש לא יפה מדי.
    ואנחנו הרי לא כאלה.
    חוץ מזה "להבדיל ממך, בעמדה פחות בעיתית…"
    אני לא בשום עמדה בעיתית…אין לי בעיה לכתוב על מה שבא לי לא חייב להם כלום, פשוט לא בא לי כנראה..
    די הם פשוט פתתתתתת..
    אפילו כשניסיתי לבדוק עכשיו אם הפירצות עוד קיימות ויהיה לי אולי חשק לכתוב על זה, לא יכולתי כי השרת שלהם נפל.
    מה צריך לומר יותר מזה?!
    הנה הם פתרו את בעיות האבטחה. אי אפשר לעשות האקינג כשאין בכלל אתר.
    לא כיף איתם בכלל…

  • טוב נו נשברתי אז רק קצת פיקנטריה ואידיוטיזם לא עניני אבטחה, אבל ממש על קצה המזלג:
    לעבודה:
    http://cafe.themarker.com/view.php?u=51
    u=48

    u=9
    u=18
    u=19
    u=36
    בחורה יסודית דינה u=60
    u=78מעניין הסאב דומיין הזה נשמע מוכר
    מוזר u=30 היה נראה לי יותר פופולרי…הממ אהה הנה הוא u=2058.

    בקיצור קצה המזלג..מי עושה רשת חברתית עם מספרי יוזרים סידרתים?!
    ומפה הדרך לספאם קצרה….

  • מאת נמרוד:

    הממ.. חשוב מאוד! תודה.

  • בCMS של דקס יש אפשרות לקבל רשימה של אנשים שביקרתי או שביקרו אותי. בגדול אפשר להציג רשימה כזו עבור כל גולש: שאנשים אחרים יוכלו לצפות ברשימת האנשים שביקרת או שביקרו אותך. זו אפשרות קיימת, אבל בחרנו עד היום שלא להציג את המידע הזה, פרט לגולש שהמידע רלוונטי עבורו.

    התקלה היתה פשוטה, בשכבת התצוגה של האתר, שבה עושים התאמות למערכות השונות, הבדיקה לא העיפה את הגולש כמו שנדרש בעמוד לוג הביקורים בלבד.

    מכאן ולצפות בתכנים פרטיים המרחק גדול, כי מנגנון הוא אחר והוא בתשתית של המערכת.

    בכל זאת, אנחנו שמחים מאוד שדיווחו לנו על הבאג הזה, והתקלה תוקנה תוך פחות מ 10 דקות בכל האתרים. תודה רבה!!

  • [...] אבל הפרצה עדיין היתה שם וכלום לא השתנה (אגב, במקרה אחר ששם התקלה היתה פחות חמורה ודווקא כן במערכת של דקס, תוך [...]

  • מאת מרטין:

    היי ארז, איזה כיף לך שאתה מבין בדברים כאלו ועדיין שומר על צניעות קבל לייק רציני מאוד.
    אני כבר די הרבה זמן מנסה להשקיע קצת וללמוד כמה דברים אלמנטריים בפריצה ותכנות, אך לצערי כבר אין הראש קולט כלום
    תמשיך ככה אחי.

הוסף תגובה!

עליך להיות מחובר כדי להוסיף תגובה.

124 queries in 0.203 seconds.