W sieci pojawiła się strona, która ma za zadanie poprawić wizerunek prezesa NBP Marka Belki po publikacji taśm z nagraniem jego prywatnych rozmów. Kto ją stworzył i kto za nią zapłacił? Autorzy witryny postarali się, by nie było to proste do ustalenia.
Aby anonimowo stworzyć stronę w sieci nie trzeba wcale korzystać z VPN-ów, Tora, bitcoinów i sieci pośredników. Wystarczy pamiętać o kilku szczegółach i nie popełnić żadnego głupiego błędu.
Tajemnicza akcja PR
Wczoraj w sieci zaczęły krążyć linki do witryny www.mowiacwprost.pl, która wydaje się mieć na celu poprawę wizerunku Marka Belki. Zawiera ona między innymi pełną transkrypcję słynnej rozmowy prezesa NBP z ministrem spraw wewnętrznych (przy okazji wytykając błędy popełnione przez dziennikarzy Wprost w ich wersji transkrypcji), wypowiedzi Marka Belki oraz kilka peanów na jego część. Większości dziennikarzy, którzy trafili na stronę, przede wszystkim rzucił się w oczy brak jakiegokolwiek podpisu autora serwisu. Powstaje zatem pytanie, kto za to wszystko zapłacił oraz czy pieniądze nie poszły z państwowej kieszeni. Przyjrzyjmy się zatem serwisowi i zobaczmy, czy znajdziemy tam jakiekolwiek ślady wskazujące na jego twórców lub sponsorów.
Domeny, hostingi, DNSy
Zacznijmy od podstaw, czyli kwestii technicznych związanych z samym serwerem i domeną. Strona umieszczona została na serwerze wynajętym od firmy Home.pl. Jego adres IP to 79.96.125.87 a domena przypisana przez Home to v082637.home.net.pl. Przeszukanie sieci pod kątem obu informacji wskazuje, że adres IP ani domena nie były wykorzystywane do żadnych innych celów. Brak śladów innych stron znajdujących się na tym samym serwerze, brak też śladów aktywności pochodzącej z tego adresu IP. IP nie znajduje się na żadnej czarnej liście, nic ciekawego nie wie o nim także Google. Punkt dla autorów – użyli najwyraźniej nowego serwera, którego nie można z nimi w żaden publicznie dostępny sposób powiązać.
Z zapisów DNS też nie dowiemy się niczego ciekawego – domena jest w całości obsługiwana wyłącznie przez Home, zarówno pod kątem www jak i poczty.
mowiacwprost.pl. 21599 IN NS dns.home.pl. mowiacwprost.pl. 21599 IN NS dns3.home.pl. mowiacwprost.pl. 3599 IN MX 10 mowiacwprost.pl. mowiacwprost.pl. 21599 IN NS dns2.home.pl. mowiacwprost.pl. 3599 IN A 79.96.125.87 mowiacwprost.pl. 21599 IN SOA dns.home.pl
Sama domena została zakupiona 17 lipca 2014 przez osobę fizyczną, której dane posiada jedynie firma Home. Kolejny punkt dla autorów.
Zawartość strony – mechanizmy
Co prawda autorzy strony poświęcili trochę czasu, by usunąć wszystkie informacje wprost wskazujące na mechanizmy, o które strona została oparta, ale już rzut oka do pliku robots.txt sugeruje, że może to być standardowy system zarządzania treścią, a odwiedziny panelu administracyjnego, a w zasadzie jego ekranu logowania naprowadzają na właściwy trop. W kodzie źródłowym strony znajdujemy np. ciąg „Zapisano kopie zapasową treści”, a jego wpisanie w Google nie pozostawia wątpliwości – autorzy użyli polskiego, publicznie dostępnego narzędzia WinduCMS. Możemy to potwierdzić na przykład pod tym linkiem.
Wybór WinduCMS może potencjalnie być wskazówką pomocną przy określeniu autorstwa witryny. Samodzielnie informacja o użytym mechanizmie nie wskazuje na twórców, ale jako że Windu nie jest najpopularniejszym CMSem, firm prowadzących wdrożenia z jego użyciem nie jest zbyt wiele.
Wybór gotowego systemu CMS jest rozwiązaniem dość oczywistym, choć nie gwarantującym najwyższego poziomu bezpieczeństwa. Strona jest na tyle prosta, że można ją było stworzyć w formie całkowicie statycznej, rezygnując z bardziej złożonych mechanizmów, w których potencjalnie mogą znajdować się luki bezpieczeństwa. Tu nie przyznajemy punktu autorom serwisu – można było zrobić to lepiej.
Zawartość strony – metadane
Publikowanie jakichkolwiek dokumentów zawsze naraża ich autora na ryzyko nieplanowanego wycieku dodatkowych informacji, najczęściej w formie metadanych. W witrynie opublikowano dwa pliki PDF – transkrypcję rozmowy oraz jej porównanie z wersją opublikowaną przez Wprost. Oba pliki są umieszczone w serwisie Scribd i jedynie osadzone w witrynie docelowej. W przypadku porównania dwóch zapisów autorzy skorzystali z dokumentu opublikowanego 17 lipca przez serwis natemat.pl z konta belka-sienkiewicz. Prawdopodobnie nie jest ono w żaden sposób powiązane z mowiacwprost.pl i zostało stworzone przez natemat.pl. Z kolei sama transkrypcja została opublikowana wczoraj z konta mowiacwprost. Oba dokumenty mogliśmy przeanalizować, ponieważ serwis Scribd nie modyfikuje przesyłanych PDFów i umożliwia ich ponowne pobranie.
Oba pliki nie zawierają praktycznie żadnych metadanych oprócz informacji, że zostały stworzone przy użyciu programu Microsoft Word 2013.
Nie oznacza to, że zostały stworzone przez tego samego autora, ale prawdopodobnie oba zostały stworzone z poziomu Worda i w obu przypadkach ktoś zadbał, by pole „Autor”, domyślnie wypełnione, było tym razem puste. Identyczne metadane oraz umieszczenie obu plików w tym samym serwisie, choć z dwóch różnych kont, może sugerować jakiś poziom współpracy pomiędzy natemat.pl a autorami strony, brak jednak na to mocnych dowodów. Kolejny punkt dla twórców dokumentów.
Nie tylko pliki PDF zawierają metadane. W serwisie znajduje się również kilka plików JPG ze zdjęciami Marka Belki. Wszystkie zostały pozbawione jakichkolwiek użytecznych metadanych – choć tu pewnie w trakcie wgrywania plików mógł zadziałać mechanizm WinduCMS je usuwający.
Spośród pozostałych plików graficznych jeden zawiera metadane wskazujące na przygotowanie go przy użyciu Photoshopa na Macintoshu, lecz jest on standardowo dystrybuowany wraz z WinduCMS. Jedyny wyglądający na przygotowany specjalnie na potrzeby serwisu, czyli jego logo, wskazuje tylko na obróbkę w programie Adobe ImageReady. Pozostałe pliki takie jak definicje stylów czy skrypty JS są elementami standardowymi lub nie zawierają żadnych wskazówek co do ich twórców. Kolejny punkt dla autorów serwisu.
Statystyki i inne kody śledzące
Czasem na powiązanie danej witryny z innymi pozwalają użyte fragmenty kodu mająca za zadanie wyświetlać reklamy lub rejestrować statystyki wizyt w serwisie. Na analizowanej witrynie brak jakichkolwiek reklam lub elementów zewnętrznych oprócz statystyk Google. Tu trzeba jednak przyznać kolejny punkt autorom – kod śledzący Google Analytics został wygenerowany z osobnego konta, dzięki czemu nie można go powiązać z żadnym innym projektem.
Jeszcze kilka lat temu moglibyśmy próbować zajrzeć do statystyk serwisu dzięki temu, że Home.pl stosowało wtedy dość prymitywną metodę ich ukrywania za generowanym pseudolosowo krótkim linkiem. Obecnie link prowadzący do statystyk jest dużo dłuższy, co praktycznie uniemożliwia jego odgadnięcie.
Inne możliwości
Jak widzicie powyżej, na pierwszy rzut oka nie widać niczego, co wskazuje na autorstwo strony. Oczywiście nie wyczerpaliśmy jeszcze wszystkich możliwości identyfikacji jej autorów (choć mamy ich i tak znacznie mniej niż chociażby prokurator). Czego jeszcze można (lub nie wolno) spróbować:
- wysłać „na ślepo” wiadomości poczty elektronicznej na zgadywane adresy np. [email protected] i albo zawrzeć w nich elementy śledzące takie jak chociażby osadzone w treści emaila odwołania do grafik na kontrolowanym przez nas serwerze lub w załączeniu dokumenty (z tytułem np. „Druga taśma Belki”) zawierające takie aktywne odwołania do zewnętrznych zasobów – w ten sposób, przy spełnieniu jeszcze kilku warunków, można ustalić adres IP osoby, która otworzy wiadomość
- jak powyżej, lecz licząc na odpowiedź, w której nagłówkach prawdopodobnie znajdziemy adres IP nadawcy
- przeskanować serwer HTTP pod kątem potencjalnie istniejących innych plików lub folderów z użyciem np. DirBustera (powoli przechodzimy do obszaru „nie wolno”)
- pobrać kod WinduCMS i wyszukać w nim luki, umożliwiające uzyskanie większej ilości informacji jak chociażby adres email administratora i je wykorzystać (tu już zdecydowanie „nie wolno”)
Nie wątpimy, że nasi Czytelnicy wymyślą jeszcze kilka metod pogłębienia wiedzy o tym, kto stoi za serwisem mowiacwprost.pl. Czekamy na Wasze propozycje.
Komentarze
Ciekawe czy pracowników marketingu/programistów w home.pl nie kusi, żeby tutaj podać dane tego konta :)
Pobrałem/podejrzałem, nie są to politycy/osoby publiczne.
Z jakiego softu korzystaliście analizując pliki pdf? Nie wygląda mi to na starą dobrą FOCA ;)
Zwykły Foxit i Notepad.
A może poszukać kto zakładał konto na scribd? Dodatkowo strona jest zweryfikowana na Google Webmaster Tools kodem 'bgBh060VeGGVJBqfRX05gX5BQLTzP6tVau6qhwnVa8Y’. I ciekawostka, że używają licencji CC-BY-SA 4.0 :)
W sumie ciekawe jest też kto tam ich badał na
http://www.woorank.com/en/www/mowiacwprost.pl
i
http://www.wkopi.pl/show/kopia-sfotografowanej-strony/?i=60ca88c4f2847196fb3d30fb9cf219a006839a8390d6c5eea5286a888d1ce414&is=i4.wkopi.pl
Z licencją to prawda, niewiele serwisów w Polsce jej używa. Teraz pytanie kto ma tą samą licencję i Windu.
„A może poszukać kto zakładał konto na scribd? ”
,”author_name”:”mowiacwprost”,”author_url”:”http://www.scribd.com/mowiacwprost”,”price”:””,”adfree_publisher”:false,
http://www.scribd.com/mowiacwprost
a co to znaczy ?
Podpowiem, windu (bez obrazy, adamie czajkowski) jest mało bezpiecznym systemem. Kiedyś błędy czaiły się w każdej partii kodu. Teraz nie jest tak łatwo, ale nadal można coś znaleźć :)
http://mowiacwprost.pl/wyszukiwarka/%27
Błędów jest sporo – gdyby komuś chciało się bawić, niech zbada CSRFy w panelu.
Czy tylko u mnie strona leży? DDOS czy nadmierne zainteresowanie?
Tak, tylko u ciebie :)
Propozycje? Wyprawić @redaktora aby strzelił w pysk Be… .Efekt 'murowany”.
Ciekawe… z polskich IP strona jest dostępna, ale już z niemieckich niestety nie udało mi się dostać.
Jak już Adam podlinkował od nas dirbustera, to polecam też „niewinnego” doc-a:
http://sekurak.pl/sledzenie-otwierania-dokumentow-ms-office/
Wchodząc na http://www.mowiacwprost.pl/stat u gory pojawia sie link do obrazka z błędami http://wprost/data/themes/mw/img/mw-logo.png. Nba początku pomyślałem że chodzi o wprost.pl by była ładna poszlaka, ale niestety chodzi o http://mowiacwprost.pl/data/themes/mw/img/mw-logo.png, więc to tylko mały błąd. :D
Huhu, chyba mam pierwszy błąd ;-) szybko poszło.
Jakie ukrycie? Przecież musieli podać dane w home, i zrobić przelew – no chyba że przez poczta zapłacili ;)
Ukrycie przed dziennikarzami, a nie prokuratorem.
Tak czy inaczej czas wywalić Pana Bekę że stołka.
Dosyć!!!!
Ktos to czyta, bo usuwa błędy które tu są wypisywanie :)
WinduCMS – sprawdzic jakie agencje na terenie warszawy etc korzystaja z tego Cms i porownac styl kodu css html ilosc spacji tabulacje używane nazwy class id
np window.HOME — if lt IE 9 viewport .smnews
Używali prawdopodobnie SAS compilera do CSS
dcterms.rights
korzystaja z bootstrapa nawet plugina slide
Czy sa tagi: robots :: googlebot — z reguly uzywa sie jednego
Przeanalizować identyfikator UA-52992966-1 czy zosty utworzone osobne konto dla Google anal enumeracja podobnych identyfikatorow
Czy nawet tyl href=”/” moze byc inny np href=”./”
/*!
* Mowiac wprost main CSS
*
* Used components:
*
boottrap ma inny naglowek standardowy
robots.txt
User-agent: *
Disallow: /admin/
Disallow: /do/
to chyba z cmss
Taki maly fingerprinting
Co by nie powiedzieć jesteśmy w House of Cards – kłamstwa, manipulacje pieniędzmi społeczeństwa, gangsterstwo cala gęba, brak jeszcze morderstw ale to się pojawi bo gdy jest za dużo kłamstw usuwa się nie wygodne osoby kto by to nie był! Przecież wulgaryzm tej rozmowy panów Belki i Sienkiewicza niczym się nie rożni się od mowy przestępców i ich zamiary są tez przestępstwem!
Mnie się rzuciła w oczy klasa css droppyOne. Spróbowałem wygooglać i znajduje airbike.pl Teraz tylko pytanie kto zrobił airbike.
Być może się myle. Może zna ktoś jakąś bibliotekę/szablon wykorzystującą klasę droppyOne? Wygląda na agencję wysoko.org z Warszawy
Pozdrawiam,
MIchał
http://airbike.pl/admin windu… przypadek?
Witam, oświadczam że tej strony nie zrobiła nasza agencja, elementy o których piszecie istotnie są elementami Windu jednak używamy ich we wszystkich domyślnych szablonach dostępnych dla każdego użytkownika.
WinduCMS – sprawdzic jakie agencje na terenie warszawy etc korzystaja z tego Cms i porownac styl kodu css html ilosc spacji tabulacje uzywane nazwy class id
np window.HOME — if lt IE 9 viewport .smnews
Uzywali prawdopodobnie SAS compilera do CSS
dcterms.rights
korzystaja z bootstrapa nawet plugina slide
https://zaufanatrzeciastrona.pl/post/jak-autorzy-strony-mowiacwprost-pl-ukryli-swoja-tozsamosc/#comment-7864
Czy sa tagi: robots :: googlebot — z reguly uzywa sie jednego
Przeanalizowac identyfikator UA-52992966-1 czy zosty utworzone osobne konto dla Google anal enumeracja podobnych identyfikatorow
Czy nawet tyl href=”/” moze byc inny np href=”./”
/*!
* Mowiac wprost main CSS
*
* Used components:
*
boottrap ma inny naglowek standardowy
robots.txt
User-agent: *
Disallow: /admin/
Disallow: /do/
to chyba z cmss
Taki maly fingerprinting
Jestem autorem Windu CMS i tak się składa że autor strony złamał licencje naszego systemu usuwając informacje z panelu admina, dodam tez że nasze agencje http://www.jcd.pl oraz http://www.wysoko.org nie wykonało tej strony :)
Co stoi na przeszkodzie napisania do home.pl w sprawie zamknięcia strony?
czyli belka lamie prawo i zlamal licencje ?
Działają na Windowsie. Wycinek outputu nmap’a (`nmap -sV -P0 -p 1443 -vv mowiacwprost.pl`):
1443/tcp open ssl/http Microsoft IIS httpd 8.0
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
to raczej honey z home.pl
Zostaje tylko pogratulować panom :)