Kto podmienia polskie strony www?

W przeszłości, duża część włamań do systemów internetowych miała na celu głośne zakomunikowanie swojego protestu lub zostawieniu śladu po swoim działaniu. Coś w rodzaju “byłem tu – Tony Halik”, tylko w internecie. Dziś zdecydowana większość włamywaczy skupia się na wykradaniu danych, zapewnianiu sobie stałego dostępu do cudzych systemów lub wymuszeniach za pomocą ransomware. Czy w sieci można znaleźć jeszcze akcje typu “byłem tu”?

Odpowiedź oczywiście jest twierdząca – chyba każdy z nas natknął się choć raz na podmienioną stronę internetową. Ale jak to wygląda, gdy się temu głębiej przyjrzymy?

Czego szukałem?
Podczas analizy tematu, szukałem wszystkich aktywności mających na celu podmianę istniejącej treści (lub jakiejkolwiek innej danej – na przykład nazwy urządzenia, SSID sieci WiFi czy wrzuceniu czegoś na odtwarzacz multimedialny), skierowanych przeciwko systemom w domenie .pl lub znajdujących się w przypisanych polskim operatorom zakresach adresów IP. Nie jest to w żadnym wypadku dokładna, metodyczna analiza wszystkich włamań z ostatnich tygodni – na pewno nie dotarłem nawet do połowy systemów, w których pojawiła się “wrzutka” – jednak nawet tak ogólna analiza powinna dać pogląd, kto dziś chce zostawić swój ślad w sieci.

Część pierwsza: routery
Czy można zostawić swój ślad na routerze? I właściwie po co to robić?

Jak się okazuje, można. Co ciekawe – w dobrym celu. Od pewnego czasu trwa akcja automatycznego włamywania się na źle zabezpieczone routery (i generalnie – różne urządzenia iOT) w celu naprawy błędów w konfiguracji i zwróceniu uwagi właścicieli na konieczność pilnowania sprzętu. Za pomocą Shodana znalazłem ponad 900 urządzeń o nazwie zaczynającej się od słów HACKED-ROUTER-HELP-SOS, ponad 800 z nich to urządzenia firmy Ubiquiti, kilkadziesiąt – MikroTik. Co ciekawe, w bazie znalazła się zaledwie jedna drukarka zmuszona do wyświetlania “HACKED” na wyświetlaczu, i zaledwie jedno urządzenie multimedialne o nazwie “You are hacked!! Secure Your Device!!”.

Nie oznacza to, oczywiście, że jako naród jesteśmy tak dobrzy w zabezpieczaniu swoich systemów, i nie podpinamy drukarek do publicznej sieci. Trzeba pamiętać, że w poszukiwaniach skupiam się wyłącznie na odszukaniu urządzeń, na których “ktoś” zostawił swój ślad – a nie, na które się po prostu ordynarnie włamał. Szybki przegląd dostępnych w sieci drukarek dał mi blisko 900 urządzeń HP czekających na przychodzące ze świata polecenia.

Część druga: urządzenia multimedialne
Kampania zachęcająca do subskrybowania PewDiePie (pisaliśmy o tym) się skończyła, ale jej pozostałości ciągle są widoczne w sieci. W tej chwili na “polskich” adresach IP dostępnych jest ponad 750 urządzeń wspierających Chromecast – najczęściej telewizorów Sony Bravia, Philipsów i trochę mnie MiBoxów. Dzięki odpowiedniemu nazewnictwu wiemy, że kilka z nich stoi w salonach, jadalniach, jeden zaś w pokoju rodzinnym.

Kilka 10 z tych urządzeń ma nazwę Instagram:@_minahiltariq Fuck-Me\n, trzy – HACKED_SUB2PEWDS_0 (to element wspomnianej wcześniej kampanii), a cztery –[email protected].

Generalnie – nic ciekawego.

Choć z drugiej strony… Blisko 300 urządzeń pochodzi z jednej sieci. Wygląda na to, że routery firmy Vectra domyślnie mają włączone upnp i udostępniają urządzenia z sieci lokalnej całemu światu. Po piętach depcze im Multimedia Polska, ze 180 nieszczelnymi routerami. Wyjątkowo dobrze na tym tle wypada Orange – mnóstwo klientów, a tylko 54 telewizory widoczne z internetu…

Część trzecia: strony www
Kiedyś ataki Gumisiów lądowały na czołówkach gazet, dziś stron internetowych raczej się nie podmienia. Automatyczne wyłapanie wszystkich “poprawionych” stron internetowych również nie jest łatwe – od kiedy istnieją serwery wirtualne, podmiana strony nie jest równoznaczna z podmianą wszystkich stron na danym serwerze. Ale analiza ma na celu sprawdzenie, po co się to robi, a nie wyszukanie wszystkich istniejących przypadków.

3.1 – serwery
Serwerów WWW przedstawiających się jako “hacked” jest około 20 – z czego 15 stoi w “chmurze” prowadzonej przez Home. Jak widać, własny serwer zamiast nadzorowanego hostingu WWW nie zawsze jest dobrym wyborem.

Co zostawiają po sobie włamywacze? Na 16 stron, które były dostępne w momencie pisania tekstu, jedna była już naprawiona, a 15 zawierało mniej lub bardziej szablonowe strony. Czego dowiadujemy się z podmienionych stron? Po pierwsze – włamywacze uwielbiają czarne tło. To się nie zmieniło od lat (choć Gumisie były miłym dla oka wyjątkiem).

Po drugie – uwielbiają się pozdrawiać. Po trzecie – podmieniają strony z dwóch powodów: dla promocji swojej religii i wyrażenia sprzeciwu wobec polityki Izraela, po drugie – by się popromować. Wszyscy włamywacze, których udało mi się zidentyfikować geograficznie (10), są związani z Indonezją lub Turcją. Prawie wszyscy napisali swoje strony na kolanie – albo zawierają błędy uniemożliwiające odtworzenie zawartych na nich materiałów multimedialnych (błędnie skonstruowane odnośniki do youtube, odnośnik do nieistniejącej animacji we Flashu), albo mają błędy w zalinkowanych obrazkach, albo odsyłają do niedziałających forów i stron. Choć na przykład taki ZeDaN-Mrx zrobił prostą, względnie pozbawioną błędów stronę… Z drugiej strony, taki budi_spielberg nie wyrósł jeszcze z lat 90, ale obrazków linkować nie potrafi.

Jak można wywnioskować z faktu niedziałania odnośników na stronach, większość z ataków jest efektem pracy automatów, które raz uruchomione szukają ofiar po całej sieci, i nie sprawdzają, czy od napisania wzoru strony do podłożenia, coś nie zmieniło się w serwisach do których linkuje.

3.2 – serwery wirtualne, podstrony
Automatyczne wyszukanie serwisów, w których podmieniono tylko nielinkowane z zewnątrz podstrony, nie jest trywialnym zadaniem. Na szczęście z pomocą przychodzą sami włamywacze, którzy chcą się pochwalić przed innymi swoimi osiągnięciami. Tylko w ostatnim tygodniu zrobili to 41 razy w odniesieniu do serwisów w polskiej domenie.

Co my tu mamy? Nadal króluje czerń. Nadal królują włamywacze z krajów islamskich. Za to tym razem strony mają mniej błędów i większość z nich działa prawidłowo. Są też lepiej dopracowane pod względem graficznym – w każdym razie tam, gdzie ktoś się o to postarał. Bo zdarza się, że włamywacze decydują się na podrzucenie krótkiego pliku tekstowego o treści typu Hacked - Nightmare - Since 2k17 czy też by Panataran xD.

Ciekawostką jest włamywacz o nicku Alarg53, który usiłuje zdobyć dodatkowych followerów do swojego profilu facebookowego – a to przez (niedziałający w Chrome i w Safari) overlay mający wymusić przypadkowe kliknięcie “follow”. Różnica w liczbie osób “lubiących” od “followujących” jego profil wskazuje, że mój komputer nie jest jedynym, na którym ta sztuczka nie zadziałała. Szybkie sprawdzenie większości jego ofiar wskazuje, że ten włamywacz skupił się na wykorzystaniu błędu w Joomli, i budowaniu w ten sposób swojego wizerunku jako (cytuję) króla królów.

Wśród “chwalipiętów” mniej jest klasycznych aktywistów, próbujących wysłać przekaz popierający lub sprzeciwiający się czemukolwiek – zdecydowana większość włamań ma na celu popisanie się i (czasami) skierowanie do swoich kont społecznościowych. Sporo jest też włamań polegających nie na podmianie głównej strony, lecz wykorzystaniu mniejszych błędów w systemach zarządzaniach treścią (CMS) w celu podrzucenia pliku gdzieś do głęboko ukrytego katalogu z prawami uploadu.

Podsumowanie
Osoby, które lubią zostawić po sobie ślad na cudzym serwerze, wciąż są spotykane w sieci. Nie stanowią już widocznej większości. Aktywiści skupiają się na DDoSach lub bezpośrednim docieraniu do masowych grup odbiorców za pośrednictwem ich telewizorów, osoby o mrocznej osobowości – na zarabianiu pieniędzy po ciemnej stronie mocy, specjaliści wychowani w poszanowaniu reguł – na pentestingu i konkursach typu CTF. Mimo wszystko nadal możemy zobaczyć w internecie małe dzieła sztuki zostawione przez cyfrowych grafficiarzy. Tych pracujących z pomocą automatów (tu podejrzewam źródło źle działających stron z części 3.1), i tych próbujących ręcznie namierzać kolejne ofiary i pracujących na podbudowę swojego ego – a przez to szykujących strony internetowe zbliżone do znanych z lat 90 programów typu intro/crack dołączanych do nielicencjonowanych wersji gier..

Dodatkowe informacje

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Zawodowo zajmuje się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i co drugiego odcinka podkastu Cyber Cyber... fundacji Bezpieczna Cyberprzestrzeń.

View all posts by lmj →

Dodaj komentarz