BLOG

Všichni, kdo máte svou e-mailovou schránku u společnosti Google – Gmail jste si již jistě všimli, že byla spuštěna novinka v podobě takzvané Prioritní pošty. Co si pod tím představit a jak to zhruba funguje se pokusím vysvětlit právě v tomto článku.

Takže jedná se vlastně o to, že Gmail nyní umí sám třídit vaši poštu na důležitou a vše ostatní. Třídění probíhá na základě několika faktorů:

1. Záleží na tom, na které e-maily odpovídáte
2. Záleží na tom, jaké e-maily čtete nejdříve
3. Záleží na tom, kolik e-mailů Vám z dané adresy chodí
4. Záleží na Vaši zpětné vazbě

Pochopitelně, že ze začátku bude třídění nepřesné a je možné, že vám Gmail bude například zobrazovat jako prioritní poštu e-maily od YouTube, i když Vy zrovna tyto e-maily za prioritní považovat nebudete. Proto jsou zde tato 2 speciální tlačítka:

Pomocí těchto dvou tlačítek tedy můžete poštu dodatečně za prioritní označit (žluté tlačítko s +), či ji štítek prioritní odebrat (šedé tlačíko -). Kromě nových tlačítek v panelu nástrojů se také přehodí celá úvodní stránka Gmailu, která je přehledně rozdělena do několika sekcí.

Úplně první je zde sekce Prioritní pošta, hned pod ní jsou zprávy označené hvězdičkou a teprve pod nimi se nalézá ostatní pošta. Samozřejmě můžete přejít ze záložky Prioritní pošta do záložky Doručená pošta, kde rozložení stránky bude přesně takové, jak jste zvyklí a nebo můžete celý modul Prioritních zpráv v nastavení vypnout.

Tady ještě instruktážní video, které Gmail u Prioritní pošty zobrazuje:

Takže čtěte, odepisujte a označujte, ať máte poštu co nejpřesněji tříděnou :)

Jelikož se mi opět nechtělo spát, brouzdal jsem různě po internetu. Přes Google vyhledával všelijaké stránky, blogy, přečetl jsem desítky článků na různých webech, obešel fóra, která občas navštěvuji. Pak jsem začal projíždět weby, které moc často nenavštěvuji (nejsou totiž většinou moc často aktualizované).

Vzpomněl jsem si, že na mém oblíbeném portálu o bezpečnosti – SOOM.cz byla na začátku tohoto týdne vyhlášena poměrně zajímavá soutěž nesoucí název „Hackni SOOM.cz a vyhraj!“. Jak již název napovídá, jedná se o to, že komu se podaří hacknout web SOOM.cz, stane se majitelem nového USB Wi-Fi adaptér TP-LINK TL-WN727N.

Koukal jsem do BugTracku k danému článku a soutěž se nám pěkně rozjela. Ze začátku se podařilo někomu objevit chybu v podobě nezabezpečeného XSS. Ovšem o několik dní později už se jednomu hackerovi podařilo vylámat heslo k databázi SOOMu a na důkaz toho, že se opravdu do databáze dostal změnil titulek článku (ten byl samozřejmě administrátorem opraven zpět na ten původní).

Možná se vám to nezdá zas tak převratné, ovšem znepokojující je, že útočník web hacknul nikoliv kvůli chybě v kódu redakčního systému SOOMu, nýbrž kvůli chybě, kterou obsahuje samotný webhosting – již zmiňovaný Xhosting.

Zde cituji malý úryvek ze zmiňovaného BackTracku

drakko
Hoci som uz na prelomenie soom.cz kaslal, aj tak mi to nedalo.
nasiel som chybu, ktora mi umoznila precitat php zdrojaky soom.cz
dolezity je fajl base.php, no a DB hesla su zakodovane v seo.php pomocou bcompileru v0.22s

tiutin
jen pro zajimavost, jedna o chybu webhostingu nebo redakcniho systemu?

Emkei
pres hosting, jak jinak =)

tiutin
A nejake blizsi info nebude?:)

Emkei
drakko pouzil verejne dostupny exploit pro PHP funkci symlink(), zatim tedy vede, kazdopadne jak uz jsem jednou psal, radeji bych videl utoky na redakcni system SOOMu nez samotny server.

drakko
kedze si to uz zverejnil, predpokladam, ze bol bug odstraneny.

Emkei
nebyl =) ale predpokladam, ze by si technicka podpora xhostingu mohla najit tenhle rok cas a patchnout to, upozorneni na to byli…

Takže jak můžete sami číst, web byl opravdu hacknut přes samotný webhosting a co je ještě více znepokojující, zmiňovaný bug doposud nebyl opraven!

Detailnější informace můžete nalézt zde:

BugTrack k článku „Hackni SOOM.cz a vyhraj!“

Co si o tom myslíte? A u jakého hostingu hostujete vy?

Jak jste možná mnozí zaregistrovali, objevili se nedávno na spoustě zpravodajských serverů informace, že server Facebook byl hacknut a na internet unikla citlivá data 100 milionů uživatelů.

Cituji úryvek z článku, který vyšel na serveru Novinky.cz

Najdete skryté uživatele
Složka obsahuje jména Facebook účtů a přesné webové adresy jednotlivých Facebook profilů. Na nich je možné najít adresy, data narození či telefonní čísla uživatelů. Tito lidé však své soukromí nikterak výrazně nechránili.

Pro provozovatele sítě je daleko nepříjemnější fakt, že ze stránky uživatele můžete zobrazit celý list jeho přátel. Tam je pak možné najít i uživatele, kteří si v bezpečnostním nastavení Facebook určili, že chtějí být pro cizí uživatele nevyhledatelní.

Celý článek zde

Osobně se mi podařilo k těmto datům dostat (vyhledání byla otázka asi 2 minut) a na vlastní oči jsem se mohl přesvědčit o tom, co vlastně všecko na internet uniklo. Stažená 2,8Gb složka se po dekomprimaci rozrostla až na úctyhodných 16,3Gb. Obsahuje několik textových dokumentů a samotné skripty, pomocí kterých byla data zkopírována a zkompletována.

Všechny soubory jsem prošel, ale ani jeden z nich neukrývá žádná citlivá, dokonce ani osobní data uživatelů. V souborech se nacházejí pouze jména, příjmení a v největším souboru, který má cca 10Gb se nachází odkazy na profily jednotlivých uživatelů.

Ze zvědavosti jsem pár profilů otevřel, zde se objeví pouze jméno uživatele, profilová fotka, několik přátel a možnost zaslat dotyčnému zprávu, či si jej přidat do svých přátel. Je ovšem pravda, že pokud uděláte pár kliků navíc, můžete se hladce dostat až na samotný profil uživatele.

Zde ovšem naleznete pouze taková data, jaká uživatel chce sám zveřejnit, to znamená, že u většiny uživatelů se stejně nic převratného nedozvíte.

Jsem tedy nucen konstatovat, že media opět nafoukla tento čin do obrovských rozměrů a zbytečně tak šíří poplašné zprávy. Na internet sice unikla data, ale nejedná se v podstatě o nic nelegálního. Veškerá tato data lze vyčíst přímo ze samotného Facebook (stačí použít vyhledávání).

P.S: data jsem smazal a návod na jejich stažení ani podobné věci poskytovat nebudu, děkuji.

Na Facebooku se mi podařilo naleznout další aplikaci, kterou lze velmi snadno hacknout. Tentokrát se nejedná ani tak o chybu v zabezpečení jako spíš o chybu samotného autora. Ten si možná při vytváření aplikace této zásadní chyby nevšiml, nebo se mu ji už nechtělo opravovat. Ať tak či tak, dá se této chyby velice snadno zneužít.

Nejprve by bylo možná dobré si trošku přiblížit, o jakou aplikaci se jedná. Tak jedná se o Facebook „hru“ ve které máte za úkol co nejvícekrát klknout myší během 30ti vteřinového intervalu. Za každé kliknutí dostanete 1 bod.

O úspěšný hack podobné hry jsem se pokusil v minulém článku.

Dnes to ovšem bude o dost jednodušší. Nepotřebujete žádný debugger a ani jiné podobné programy. Vlastně nepotřebujete žádné programy. Vše co potřebujete je webbrowser (ten nejspíš vlastníte, neboť v opačném případě byste teď nečetli tento článek :D) a myš.

V čem hack spočívá

Jak jsem již řekl, samotná hra na Facebooku hned v úvodu obsahuje chybu. Touto chybou myslím nepřesné překrytí herního tlačítka vrstvou s nápisem GET READY! Chyba je krásně vidět na následujícím screenu:

Jak můžete vidět na horní a spodní části obrázku, horní vrstva zcela nepřekrývá herní tlačítko. Stačí tedy jen myší klikat na tyto části tlačítka a budete dostávat body bez toho, aniž by se spustil odpočet času.

Až si naklikáte požadovaný počet bodů, stačí kliknout na GET READY a regulérně hru dohrát, poté zveřejníte výsledek na své zdi.

Pokud chcete naklikat tisíce, desetitisíce či snad statisíce kliků, bude lepší stáhnout si nějaký autoclicker. Kde takový program sehnat, jak jej nainstalovat a používat zde popisovat nebudu, jistě to každý průměrný uživatel zvládne sám :)

Pro představu, zde je můj výsledek (pomocí autoclickeru samozřejmě):

Pokud máte otázky, či se chcete podělit o své zkušenosti, můžete k tomu použít komentáře :)

Fenomén jménem Facebook zde jistě všichni znáte a proto se tu o něm nemusím dlouze rozepisovat. Jedná se tedy o celosvětovou sociální síť, kde si založíte profil, navážete kontakt se svými přáteli, nahráváte své fotografie a nebo třeba využíváte různé přidružené aplikace. O jedné takové bude dnes řeč.

Přesněji – jedná se o Facebook aplikaci Click Challenge 3.0. A proč se o ni budeme bavit? Protože je velmi špatně řešená a obsahuje chybu, pomocí níž se dá velice snadno hacknout.

V aplikaci Facebook – Click Challenge 3.0 jde o to, kolikrát během 30 vteřin stihnete kliknout myší na tlačítko a nasbírat tak body (1klik = 1bod). Pomocí menší úpravy skriptu si však můžete prodloužit čas a také změnit, kolik bodů dostanete za kliknutí. Jak už jsem říkal, aplikace není moc dobře zabezpečená a jelikož je napsaná přehledně v JavaScriptu, autor aplikace naservíroval chybu přímo pod nos.

Nejprve je nutné otevřít si aplikaci mimo Facebook. Jak tento krok provést zde nebudu vysvětlovat, každý průměrný uživatel to jistě ví. (externí odkaz)

Jelikož budu celou operaci provádět v prohlížeči Mozilla Firefox, bude nutné si stáhnout doplněk FireBug. (hledání a instalaci doplňku zde opět popisovat nehodlám)

Poté stačí již jen spustit Click Challenge přes externí odkaz a zároveň aktivovat FireBug.

Ve Firebugu stačí otevřít záložku HTML, kliknout na tlačítko UPRAVIT a rozkliknout skript, který se nachází těsně před značkou body (náhled níže):

<script type="text/javascript"><br /></body>

V tomto scriptu najděte tento řádek:

var vtime = 30; 

Jak si asi správě myslíte, hodnota 30 udává počet vteřin ve hře. Stačí tedy hodnotu přepsat třeba na 300 a rázem máte 300 vteřin na klikání.

Dále najděte tento kód:

function inform(){
 vclick += 1;
 document.getElementById('eclick').innerHTML = vclick;
 if(start == 1){interval = setInterval('sec()',1000);start = 0;}
}

function mclick(){
 vclick += 1;
 document.getElementById('eclick').innerHTML = vclick;
 document.getElementById('eon').value = vclick;
 if(start == 1){interval = setInterval('sec()',1000);start = 0;}
} 

Zde je na dvou místech vidět zápis vclick +=1 znamená to, kolik bodů se má přičíst za jedno kliknutí. Stačí „1″ nahradit třeba „1000″ a rázem za jedno kliknutí dostanete 1000 bodů.

Po menším tuningu skriptu to tedy vypadá tak, že máte 300 vteřin na to abyste klikali přičemž za 1 klik dostanete 1000 bodů. Jak vidíte, není problém zde naklikat miliony či stamiliony bodů.

Jakmile si naklikáte požadovaný počet bodů, stačí počkat, než uběhne vámi nastavený čas. Poté vyskočí klasické dialogové okno Facebooku, které se Vás zeptá, zdali chcete výsledek zveřejnit na zdi. Pokud kliknete na „Zveřejnit“ objeví se na Vaší zdi, že jste naklikali třeba 11 milionů bodů za 30 vteřin. Jistě budete mezi Vašimi přáteli za experta.

Návod pro Operu (Autor: Dan Dušek)

Pokud není něco jasné, komentáře jsou k dispozici.