BLOG

Ještě než začnu popisovat co je to Dropbox a jak dosáhnout výše zmíněné kapacity zcela zdarma, rád bych předem řekl, že slovíčko hack v nadpise je tak trošku zavádějící. Nejedná se o hack jako takový, ale spíše o takový podvůdek, na který nemusíte mít téměř žádné znalosti.

Co je to Dropbox?

Abych nemusel vymýšlet a snažit se poutavě sepisovat to, co už za mě udělali jiní, vypůjčím si úryvek z tohoto článku ze serveru Root.cz

DropBox je služba, která dovoluje synchronizovat soubory mezi více počítači. Funguje to tak, že nainstalujete software, který udržuje jeden adresář (i s podadresáři) na vašem disku synchronizovaný proti serveru. Takto připojených počítačů může existovat více a všechny mají v onom adresáři stejná data. Pokud je některý počítač odpojený od internetu, můžete s daty lokálně pracovat a jakmile se připojíte, opět se změny projeví u vás i na serveru.

Při registraci do systému dostanete ZDARMA 2Gb diskového prostoru, na které můžete nahrát libovolný obsah (fotky, programy, hry, dokumenty, videa, filmy a já nevím, co ještě). Pokud Vám tato kapacita nedostačuje, můžete si:

1. Připlatit několik desítek dolarů a koupit si 50Gb nebo dokonce až 100Gb prostoru
2. Pozvat nějaké lidi, přičemž za každého, kdo pozvánků příjme dostanete ZADARMO 250Mb diskového prostoru navíc. Platí až do výše 8Gb

My samozřejmě využijeme druhou variantu. Abyste ale nemuseli odkaz rozesílat známým a hledat lidi, kteří se přes Vás zaregistrují, můžeme si tyto referály (jak se pozvaným lidem říká) „naklikat“ sami.

Jak na to?

Takže, budete potřebovat následující vybavení:

1. Účet v systému Dropbox – založit zde
2. Microsoft Virtual PC – stáhnout zde
3. Libovolný image systému Windows XP (doporučuji soubor úplně dole – Windows XP IE6) – stáhnout zde

Pokud už všechny věci máte stažené, můžeme pokračovat.

Nyní nainstalujte Microsoft Virtual PC. Nikde se Vám neobjeví ikonka programu, ta se objeví pouze ve Startu, odkud lze program spustit. Pokud ji tam nemáte, restartujte počítač. Nyní spusťte samorozbalovací archív s Vaším image obrazem Windows XP. Dostanete .vhd soubor o velikosti několika Gb.

Zapněte Virtual PC -> Vytvořte nový virtuální počítač (pokud možno, zvolte více RAM paměti, než Vám program nabízí, práce bude rychlejší) -> Jako virtuální HDD zvolte onen .vhd soubor -> Zaškrtněte políčko POVOLIT DISKY PRO VRACENÍ ZMĚN - toto je důležité! Nyní máte vytvořen virtuální počítač, tak jej spusťte.

Mezitím si ze svého účtu na Dropbox odešlete několik pozvánek na e-maily. E-maily si můžete vymyslet, nebudete se do nich muset přihlašovat, ani s nimi dále pracovat, takže klidně pozvánku můžete poslat na e-mail (ab@zu.cz). Doporučuji volit co nejkratší názvy, aby se Vám potom dobře opisovaly.

Až najede Virtuální počítač, spusťte Internet Explorer a přejděte na adresu www.dropbox.com, stáhněte program a nainstalujte jej. Po instalaci se objeví nabídka -> zvolte, že ještě nemáte účet -> tady si klidně všechny údaje vymyslete, jen e-mail zadejte nějaký, na který jste posílali pozvánku -> Dokončit

A je to! Nyní máte prvního referála a prvních 250Mb prostoru úplně zadarmo! Pokud jste pracovali efektivně tak Vám tato operace nezabrala více, než 2-3 minutky. Takto postup opakujte, dokud nebudete mít z referálů 8Gb (celkově 10Gb na účtu) :) Zde ještě screen, že to funguje:

Po kliknutí se obrázek zvětší

Pokud Vám něco není jasné, něco nejde a nebo máte jiný tip, klidně jej můžete napsat do komentářů. Za zpětnou reakci budu vděčný.

Známý český hosting – Xhosting.cz se stal obětí hackerského útoku.

První dohady mluví o tom, že Xhosting byl hacknut cca kolem 01:30 ranní (což je cca před půl hoďkou). Pachatel je neznámý, pouze na webu (screen níže) se podepsal jako „GHoST61″.

Weby některých zákazníků jsou také v tuto dobu mimo provoz. Bližší informace přinese až čas …

Na známém českém fóru – Webtrh.cz vzniklo také vlákno, kde se můžete k tomuto tématu vyjádřit – ZDE.

Oficiální vyjádření firmy Xhosting:

Vyjádření o hacknutí webhostingu Xhosting.cz
Dobrý den,

dnes, v ranních hodinách, došlo k napadení webhostingu Xhosting.cz neznámým pachatelem.
Hacker využil jedné bezpečnostní chyby a přepsal titulní stránky webů. Tato chyba byla ihned opravena a náš tým obnovuje data ze záloh.

Za způsobené problémy se velice omlouváme, prosíme Vás o shovívavost a budeme Vás informovat o dalších postupech při řešení tohoto problému.

Jelikož se mi opět nechtělo spát, brouzdal jsem různě po internetu. Přes Google vyhledával všelijaké stránky, blogy, přečetl jsem desítky článků na různých webech, obešel fóra, která občas navštěvuji. Pak jsem začal projíždět weby, které moc často nenavštěvuji (nejsou totiž většinou moc často aktualizované).

Vzpomněl jsem si, že na mém oblíbeném portálu o bezpečnosti – SOOM.cz byla na začátku tohoto týdne vyhlášena poměrně zajímavá soutěž nesoucí název „Hackni SOOM.cz a vyhraj!“. Jak již název napovídá, jedná se o to, že komu se podaří hacknout web SOOM.cz, stane se majitelem nového USB Wi-Fi adaptér TP-LINK TL-WN727N.

Koukal jsem do BugTracku k danému článku a soutěž se nám pěkně rozjela. Ze začátku se podařilo někomu objevit chybu v podobě nezabezpečeného XSS. Ovšem o několik dní později už se jednomu hackerovi podařilo vylámat heslo k databázi SOOMu a na důkaz toho, že se opravdu do databáze dostal změnil titulek článku (ten byl samozřejmě administrátorem opraven zpět na ten původní).

Možná se vám to nezdá zas tak převratné, ovšem znepokojující je, že útočník web hacknul nikoliv kvůli chybě v kódu redakčního systému SOOMu, nýbrž kvůli chybě, kterou obsahuje samotný webhosting – již zmiňovaný Xhosting.

Zde cituji malý úryvek ze zmiňovaného BackTracku

drakko
Hoci som uz na prelomenie soom.cz kaslal, aj tak mi to nedalo.
nasiel som chybu, ktora mi umoznila precitat php zdrojaky soom.cz
dolezity je fajl base.php, no a DB hesla su zakodovane v seo.php pomocou bcompileru v0.22s

tiutin
jen pro zajimavost, jedna o chybu webhostingu nebo redakcniho systemu?

Emkei
pres hosting, jak jinak =)

tiutin
A nejake blizsi info nebude?:)

Emkei
drakko pouzil verejne dostupny exploit pro PHP funkci symlink(), zatim tedy vede, kazdopadne jak uz jsem jednou psal, radeji bych videl utoky na redakcni system SOOMu nez samotny server.

drakko
kedze si to uz zverejnil, predpokladam, ze bol bug odstraneny.

Emkei
nebyl =) ale predpokladam, ze by si technicka podpora xhostingu mohla najit tenhle rok cas a patchnout to, upozorneni na to byli…

Takže jak můžete sami číst, web byl opravdu hacknut přes samotný webhosting a co je ještě více znepokojující, zmiňovaný bug doposud nebyl opraven!

Detailnější informace můžete nalézt zde:

BugTrack k článku „Hackni SOOM.cz a vyhraj!“

Co si o tom myslíte? A u jakého hostingu hostujete vy?

Jak jste možná mnozí zaregistrovali, objevili se nedávno na spoustě zpravodajských serverů informace, že server Facebook byl hacknut a na internet unikla citlivá data 100 milionů uživatelů.

Cituji úryvek z článku, který vyšel na serveru Novinky.cz

Najdete skryté uživatele
Složka obsahuje jména Facebook účtů a přesné webové adresy jednotlivých Facebook profilů. Na nich je možné najít adresy, data narození či telefonní čísla uživatelů. Tito lidé však své soukromí nikterak výrazně nechránili.

Pro provozovatele sítě je daleko nepříjemnější fakt, že ze stránky uživatele můžete zobrazit celý list jeho přátel. Tam je pak možné najít i uživatele, kteří si v bezpečnostním nastavení Facebook určili, že chtějí být pro cizí uživatele nevyhledatelní.

Celý článek zde

Osobně se mi podařilo k těmto datům dostat (vyhledání byla otázka asi 2 minut) a na vlastní oči jsem se mohl přesvědčit o tom, co vlastně všecko na internet uniklo. Stažená 2,8Gb složka se po dekomprimaci rozrostla až na úctyhodných 16,3Gb. Obsahuje několik textových dokumentů a samotné skripty, pomocí kterých byla data zkopírována a zkompletována.

Všechny soubory jsem prošel, ale ani jeden z nich neukrývá žádná citlivá, dokonce ani osobní data uživatelů. V souborech se nacházejí pouze jména, příjmení a v největším souboru, který má cca 10Gb se nachází odkazy na profily jednotlivých uživatelů.

Ze zvědavosti jsem pár profilů otevřel, zde se objeví pouze jméno uživatele, profilová fotka, několik přátel a možnost zaslat dotyčnému zprávu, či si jej přidat do svých přátel. Je ovšem pravda, že pokud uděláte pár kliků navíc, můžete se hladce dostat až na samotný profil uživatele.

Zde ovšem naleznete pouze taková data, jaká uživatel chce sám zveřejnit, to znamená, že u většiny uživatelů se stejně nic převratného nedozvíte.

Jsem tedy nucen konstatovat, že media opět nafoukla tento čin do obrovských rozměrů a zbytečně tak šíří poplašné zprávy. Na internet sice unikla data, ale nejedná se v podstatě o nic nelegálního. Veškerá tato data lze vyčíst přímo ze samotného Facebook (stačí použít vyhledávání).

P.S: data jsem smazal a návod na jejich stažení ani podobné věci poskytovat nebudu, děkuji.

Na Facebooku se mi podařilo naleznout další aplikaci, kterou lze velmi snadno hacknout. Tentokrát se nejedná ani tak o chybu v zabezpečení jako spíš o chybu samotného autora. Ten si možná při vytváření aplikace této zásadní chyby nevšiml, nebo se mu ji už nechtělo opravovat. Ať tak či tak, dá se této chyby velice snadno zneužít.

Nejprve by bylo možná dobré si trošku přiblížit, o jakou aplikaci se jedná. Tak jedná se o Facebook „hru“ ve které máte za úkol co nejvícekrát klknout myší během 30ti vteřinového intervalu. Za každé kliknutí dostanete 1 bod.

O úspěšný hack podobné hry jsem se pokusil v minulém článku.

Dnes to ovšem bude o dost jednodušší. Nepotřebujete žádný debugger a ani jiné podobné programy. Vlastně nepotřebujete žádné programy. Vše co potřebujete je webbrowser (ten nejspíš vlastníte, neboť v opačném případě byste teď nečetli tento článek :D) a myš.

V čem hack spočívá

Jak jsem již řekl, samotná hra na Facebooku hned v úvodu obsahuje chybu. Touto chybou myslím nepřesné překrytí herního tlačítka vrstvou s nápisem GET READY! Chyba je krásně vidět na následujícím screenu:

Jak můžete vidět na horní a spodní části obrázku, horní vrstva zcela nepřekrývá herní tlačítko. Stačí tedy jen myší klikat na tyto části tlačítka a budete dostávat body bez toho, aniž by se spustil odpočet času.

Až si naklikáte požadovaný počet bodů, stačí kliknout na GET READY a regulérně hru dohrát, poté zveřejníte výsledek na své zdi.

Pokud chcete naklikat tisíce, desetitisíce či snad statisíce kliků, bude lepší stáhnout si nějaký autoclicker. Kde takový program sehnat, jak jej nainstalovat a používat zde popisovat nebudu, jistě to každý průměrný uživatel zvládne sám :)

Pro představu, zde je můj výsledek (pomocí autoclickeru samozřejmě):

Pokud máte otázky, či se chcete podělit o své zkušenosti, můžete k tomu použít komentáře :)