Hvíthattahakk (m. spagettí)

06. ágúst 2005 | 0 aths.

Mér skilst að tölvuhökkurum sé gróflega skipt í tvo flokka. Annars vegar þeim sem pota í öryggisholur af forvitni; athuga hvað þeir komast langt og láta svo viðkomandi aðlia vita af því að öryggi þeirra sé ábótavant, hins vegar þeir sem brjótast inn til að valda einhvers konar óskunda og láta engan vita. Innblásið af myndmáli klassískra vestra eru þeir fyrrnefndu kallaðir "white hat hackers" og hinir "black hat hackers" - enda vitað mál að góðu gæjarnir eru alltaf með hvíta kábbojhatta. Í nýliðinni viku tók ég (óvart) smá hvíthattaskorpu.

Þeim lesendum sem engan áhuga hafa á tölvugrúski er bent á að þeim er óhætt að laumast út á þessum tímapunkti...

Ég var að skoða nokkra vefi og grúska aðeins í því hvernig þeir væru ofnir þegar ég rakst á að einn þeirra vísaði í skrá (favicon) á slóðinni http://194.144.120.xxx/vefir/nnn, að gamni prófaði ég að setja þessa IP tölu inn í vafrann til að sjá hver ætti hana. Þar fékk ég bara auða síðu, en þegar ég prófaði að bæta /vefir/ við fékk ég langan lista yfir möppur á vefþjóninum.

Flestar þeirra virtust hafa verið útbúnar fyrir fyrirtæki sem voru að prófa ákveðið vefkerfi og ef þær voru opnaðar fékk maður upp klassíska "Tilraunafrétt: bla bla bla" forsíðu.

Ein mappan hét hins vegar nafnfyrirtækis_old og virtist innihalda allar skrár tilheyrandi vef þessa fyrirtækis, auðveldlega læsilegar með því einu að smella á þær. Þegar ég fann símaskrá með vinnusímum, heimasímum, farsímum og netföngum að því er virðst allra starfsmanna fór mig að gruna að þetta ætti líklega ekki að vera svona.

Aðeins frekara grúsk leiddi í ljós að þessar skrár virtust alveg samsvarandi skránum á "live" vef fyrirtækisins og til dæmis fann ég skrána check.asp sem innihélt meðal annars:

<%
  if(Request.Form("txtUsername")=="TD10" &&
  Request.Form("txtPassword")=="98B7")
  ...

Þetta er sem sé notendanafnið og lykilorðið inn á innri vef fyrirtækisins og ég gat sannreynt að þessi samsetning dugir til að komast inn á "live" vefinn.

Ég fletti því upp hvaða fyrirtæki væri skráð fyrir IP tölunni og sendi þeim tölvupóst til að benda á að þetta væri allt galopið, viðskiptavinum þeirra til mögulegs ama. Ég reyndi að orða bréfið eins kurteislega og ég gat, en ég held það sé óhjákvæmilegt að smá hroki skíni í gegn þegar maður er að benda veffyritæki á svona klaufalega villu.

Ég veit ekki hvort menn eru í sumarfríi, eða hvort veffyrirtækiX@veffyrirtækiX.is sé ekki lesið, en a.m.k. er þetta allt galopið enn.

Þess má að lokum geta að notendanafnið og lykilorðið harðkóðaða eru í raun ekki nákvæmlega þau sem ég gef upp hér fyrir ofan, upphaflegu romsurnar tengjast samt greinilega rekstri viðkomandi fyrirtækis (og gætu gefið glöggum lesendum vísbendingar um hvaða fyrirtæki á í hlut).