Politici a volby, Volte svobodně, Aktivně vyjádřete své demokratické právo, Hlasujte pro změnu, Online referendum
Zuzana Martináková

Hackeri: Zuzana Martináková skončila

Zuzana Martináková 56%

button ElectionsMeter.com

Oficiálne webové stránky prezidentskej kandidátky Zuzany Martinákovej boli napadnuté neznámym hackerom, ako to uvádza oficiálne stanovisko. Ten sa zahral na tlačového hovorcu a na oficiálnom webe oznámil odstúpenie Zuzany Martinákovej od kandidatúry na hlavu štátu. Nech už bol neznámy hacker ktokoľvek, asi nebol veľkým sympatizantom Zuzany Martinákovej a tak využil veľmi jednoduchú cestu, ako to dať najavo. Našiel bezpečnostnú chybu, ktorá mu umožnila zasiahnuť do správy webu a tým pozmeniť jeho obsah. Ak si myslíte, že sa jednalo o vysoko sofistikovaný útok, mýlite sa. Ako upozornil dusoft na twitteri, pre editáciu novinky stačilo vymeniť parameter akcia v url adrese z view na edit.

 

Takto jednoducho bolo útočníkovi umožnené zmeniť obsah stránky (resp. novinku na stránke). Zuzana Martináková má relatívne veľké šťastie, že útočník tak neurobil v noci a nerozoslal linku aj s prehlásením všetkým možným médiám. Verím, že by sa po vzore TASR a AXEJET niekto toho chytil.  Bezpečnostná zraniteľnosť bola v podvečerných hodinách odstránená, je dosť možné, že len dočasným zablokovaním akejkoľvek interakcie na webe, keďže zmena parametru edit funguje stále, len nie je možné žiadnu z noviniek pozmeniť. Pri mojom pokuse som bol presmerovaný na hlavnú stránku webu. Za vytvorením webu stojí spoločnosť SIXNET s.r.o., ktorá vytvorila aj niekoľko podobných webov a tie trpia na rovnakú bezpečnostnú chybu, ako samotný web Zuzany Martinákovej. Samotný web trpí aj na SQL Injection zraniteľnosť, ktorá môže spôsobiť aj ďalšie problémy. Takmer pred rokom sa stal veľmi podobný prípad dnes už americkému prezidentovi Barackovi Obamovi, ktorého oficiálne stránky boli infikované XSS kódom, ktorý po navštívení stránok presmerovali užívateľa na oficiálny web protikandidátky Hillary Clintonovej.

Demonštračné video jedného z návštevníkov


 

 

Rovnaký postup mohol zvoliť aj tento neznámy hacker, ktorý vytvoril správu o ukončení kandidatúry, pretože do tela celej správy mohol veľmi jednoducho pridať XSS kód na presmerovanie užívateľa na web ďalšieho z kandidátov. Snáď aj táto nemilá skúsenosť bude motivovať nielen tím Zuzany Martinákovej, ale aj iné spoločnosti k výberu čo najbezpečnejších systémov. Samozrejme si uvedomujem, že vybrať si bezpečný systém nie je v silách laika, ktorý má záujem o webovú stránku. Nateraz si nie som vedomý žiadneho webu, k. orý by na Slovensku mapoval akékoľvek bezpečnostné incidenty, či zraniteľnosti.

 

11.03.2009, 04:29

source: blog.synopsi.com

2009-06-29


taktek -
Označitno spam

ElectionsMeter nenese žádnou odpovědnost za obsah. Obracejte se vždy prosím na autora. Každý text, publikovaný na ElectionsMeter, musí obsahovat jméno autora s odkazem na původní zdroj textu. Uživatelé by měli mít na vědomí zákon o ochraně autorských práv. Přečtěte si prosím pozorně pravidla užití stránek.

Zpět na hlasování: > Slovakia > Politici > Zuzana Martináková
 
load menu