23.07.2014 | 15:17

Adam Haertle

Jak autorzy strony mowiacwprost.pl ukryli swoją tożsamość

W sieci pojawiła się strona, która ma za zadanie poprawić wizerunek prezesa NBP Marka Belki po publikacji taśm z nagraniem jego prywatnych rozmów. Kto ją stworzył i kto za nią zapłacił? Autorzy witryny postarali się, by nie było to proste do ustalenia.

Aby anonimowo stworzyć stronę w sieci nie trzeba wcale korzystać z VPN-ów, Tora, bitcoinów i sieci pośredników. Wystarczy pamiętać o kilku szczegółach i nie popełnić żadnego głupiego błędu.

Tajemnicza akcja PR

Wczoraj w sieci zaczęły krążyć linki do witryny www.mowiacwprost.pl, która wydaje się mieć na celu poprawę wizerunku Marka Belki. Zawiera ona między innymi pełną transkrypcję słynnej rozmowy prezesa NBP z ministrem spraw wewnętrznych (przy okazji wytykając błędy popełnione przez dziennikarzy Wprost w ich wersji transkrypcji), wypowiedzi Marka Belki oraz kilka peanów na jego część. Większości dziennikarzy, którzy trafili na stronę, przede wszystkim rzucił się w oczy brak jakiegokolwiek podpisu autora serwisu. Powstaje zatem pytanie, kto za to wszystko zapłacił oraz czy pieniądze nie poszły z państwowej kieszeni. Przyjrzyjmy się zatem serwisowi i zobaczmy, czy znajdziemy tam jakiekolwiek ślady wskazujące na jego twórców lub sponsorów.

Witryna mowiacwprost.pl

Witryna mowiacwprost.pl

Domeny, hostingi, DNSy

Zacznijmy od podstaw, czyli kwestii technicznych związanych z samym serwerem i domeną. Strona umieszczona została na serwerze wynajętym od firmy Home.pl. Jego adres IP to 79.96.125.87 a domena przypisana przez Home to v082637.home.net.pl. Przeszukanie sieci pod kątem obu informacji wskazuje, że adres IP ani domena nie były wykorzystywane do żadnych innych celów. Brak śladów innych stron znajdujących się na tym samym serwerze, brak też śladów aktywności pochodzącej z tego adresu IP. IP nie znajduje się na żadnej czarnej liście, nic ciekawego nie wie o nim także Google. Punkt dla autorów – użyli najwyraźniej nowego serwera, którego nie można z nimi w żaden publicznie dostępny sposób powiązać.

Z zapisów DNS też nie dowiemy się niczego ciekawego – domena jest w całości obsługiwana wyłącznie przez Home, zarówno pod kątem www jak i poczty.

mowiacwprost.pl.	21599	IN	NS	dns.home.pl.
mowiacwprost.pl.	21599	IN	NS	dns3.home.pl.
mowiacwprost.pl.	3599	IN	MX	10 mowiacwprost.pl.
mowiacwprost.pl.	21599	IN	NS	dns2.home.pl.
mowiacwprost.pl.	3599	IN	A	79.96.125.87
mowiacwprost.pl.	21599	IN	SOA	dns.home.pl

Sama domena została zakupiona 17 lipca 2014 przez osobę fizyczną, której dane posiada jedynie firma Home. Kolejny punkt dla autorów.

Zawartość strony – mechanizmy

Co prawda autorzy strony poświęcili trochę czasu, by usunąć wszystkie informacje wprost wskazujące na mechanizmy, o które strona została oparta, ale już rzut oka do pliku robots.txt sugeruje, że może to być standardowy system zarządzania treścią, a odwiedziny panelu administracyjnego, a w zasadzie jego ekranu logowania naprowadzają na właściwy trop. W kodzie źródłowym strony znajdujemy np. ciąg „Zapisano kopie zapasową treści”, a jego wpisanie w Google nie pozostawia wątpliwości – autorzy użyli polskiego, publicznie dostępnego narzędzia WinduCMS. Możemy to potwierdzić na przykład pod tym linkiem.

Wybór WinduCMS może potencjalnie być wskazówką pomocną przy określeniu autorstwa witryny. Samodzielnie informacja o użytym mechanizmie nie wskazuje na twórców, ale jako że Windu nie jest najpopularniejszym CMSem, firm prowadzących wdrożenia z jego użyciem nie jest zbyt wiele.

Wybór gotowego systemu CMS jest rozwiązaniem dość oczywistym, choć nie gwarantującym najwyższego poziomu bezpieczeństwa. Strona jest na tyle prosta, że można ją było stworzyć w formie całkowicie statycznej, rezygnując z bardziej złożonych mechanizmów, w których potencjalnie mogą znajdować się luki bezpieczeństwa. Tu nie przyznajemy punktu autorom serwisu – można było zrobić to lepiej.

Zawartość strony – metadane

Publikowanie jakichkolwiek dokumentów zawsze naraża ich autora na ryzyko nieplanowanego wycieku dodatkowych informacji, najczęściej w formie metadanych. W witrynie opublikowano dwa pliki PDF – transkrypcję rozmowy oraz jej porównanie z wersją opublikowaną przez Wprost. Oba pliki są umieszczone w serwisie Scribd i jedynie osadzone w witrynie docelowej. W przypadku porównania dwóch zapisów autorzy skorzystali z dokumentu opublikowanego 17 lipca przez serwis natemat.pl z konta belka-sienkiewicz. Prawdopodobnie nie jest ono w żaden sposób powiązane z mowiacwprost.pl i zostało stworzone przez natemat.pl. Z kolei sama transkrypcja została opublikowana wczoraj z konta mowiacwprost. Oba dokumenty mogliśmy przeanalizować, ponieważ serwis Scribd nie modyfikuje przesyłanych PDFów i umożliwia ich ponowne pobranie.

Oba pliki nie zawierają praktycznie żadnych metadanych oprócz informacji, że zostały stworzone przy użyciu programu Microsoft Word 2013.

Porównanie metadanych PDF

Porównanie metadanych PDF

Nie oznacza to, że zostały stworzone przez tego samego autora, ale prawdopodobnie oba zostały stworzone z poziomu Worda i w obu przypadkach ktoś zadbał, by pole „Autor”, domyślnie wypełnione, było tym razem puste. Identyczne metadane oraz umieszczenie obu plików w tym samym serwisie, choć z dwóch różnych kont, może sugerować jakiś poziom współpracy pomiędzy natemat.pl a autorami strony, brak jednak na to mocnych dowodów. Kolejny punkt dla twórców dokumentów.

Nie tylko pliki PDF zawierają metadane. W serwisie znajduje się również kilka plików JPG ze zdjęciami Marka Belki. Wszystkie zostały pozbawione jakichkolwiek użytecznych metadanych – choć tu pewnie w trakcie wgrywania plików mógł zadziałać mechanizm WinduCMS je usuwający.

Spośród pozostałych plików graficznych jeden zawiera metadane wskazujące na przygotowanie go przy użyciu Photoshopa na Macintoshu, lecz jest on standardowo dystrybuowany wraz z WinduCMS. Jedyny wyglądający na przygotowany specjalnie na potrzeby serwisu, czyli jego logo, wskazuje tylko na obróbkę w programie Adobe ImageReady. Pozostałe pliki takie jak definicje stylów czy skrypty JS są elementami standardowymi lub nie zawierają żadnych wskazówek co do ich twórców. Kolejny punkt dla autorów serwisu.

Statystyki i inne kody śledzące

Czasem na powiązanie danej witryny z innymi pozwalają użyte fragmenty kodu mająca za zadanie wyświetlać reklamy lub rejestrować statystyki wizyt w serwisie. Na analizowanej witrynie brak jakichkolwiek reklam lub elementów zewnętrznych oprócz statystyk Google. Tu trzeba jednak przyznać kolejny punkt autorom – kod śledzący Google Analytics został wygenerowany z osobnego konta, dzięki czemu nie można go powiązać z żadnym innym projektem.

Jeszcze kilka lat temu moglibyśmy próbować zajrzeć do statystyk serwisu dzięki temu, że Home.pl stosowało wtedy dość prymitywną metodę ich ukrywania za generowanym pseudolosowo krótkim linkiem. Obecnie link prowadzący do statystyk jest dużo dłuższy, co praktycznie uniemożliwia jego odgadnięcie.

Inne możliwości

Jak widzicie powyżej, na pierwszy rzut oka nie widać niczego, co wskazuje na autorstwo strony. Oczywiście nie wyczerpaliśmy jeszcze wszystkich możliwości identyfikacji jej autorów (choć mamy ich i tak znacznie mniej niż chociażby prokurator). Czego jeszcze można (lub nie wolno) spróbować:

  • wysłać „na ślepo” wiadomości poczty elektronicznej na zgadywane adresy np. [email protected] i albo zawrzeć w nich elementy śledzące takie jak chociażby osadzone w treści emaila odwołania do grafik na kontrolowanym przez nas serwerze lub w załączeniu dokumenty (z tytułem np. „Druga taśma Belki”) zawierające takie aktywne odwołania do zewnętrznych zasobów – w ten sposób, przy spełnieniu jeszcze kilku warunków, można ustalić adres IP osoby, która otworzy wiadomość
  • jak powyżej, lecz licząc na odpowiedź, w której nagłówkach prawdopodobnie znajdziemy adres IP nadawcy
  • przeskanować serwer HTTP pod kątem potencjalnie istniejących innych plików lub folderów z użyciem np. DirBustera (powoli przechodzimy do obszaru „nie wolno”)
  • pobrać kod WinduCMS i wyszukać w nim luki, umożliwiające uzyskanie większej ilości informacji jak chociażby adres email administratora i je wykorzystać (tu już zdecydowanie „nie wolno”)

Nie wątpimy, że nasi Czytelnicy wymyślą jeszcze kilka metod pogłębienia wiedzy o tym, kto stoi za serwisem mowiacwprost.pl. Czekamy na Wasze propozycje.

Powrót

Komentarze

  • 2014.07.23 15:35 Szymon

    Ciekawe czy pracowników marketingu/programistów w home.pl nie kusi, żeby tutaj podać dane tego konta :)

    Odpowiedz
    • 2014.07.23 21:24 Maciek

      Pobrałem/podejrzałem, nie są to politycy/osoby publiczne.

      Odpowiedz
  • 2014.07.23 15:39 Lipa

    Z jakiego softu korzystaliście analizując pliki pdf? Nie wygląda mi to na starą dobrą FOCA ;)

    Odpowiedz
    • 2014.07.23 16:30 Adam

      Zwykły Foxit i Notepad.

      Odpowiedz
  • 2014.07.23 15:40 Bartek

    A może poszukać kto zakładał konto na scribd? Dodatkowo strona jest zweryfikowana na Google Webmaster Tools kodem 'bgBh060VeGGVJBqfRX05gX5BQLTzP6tVau6qhwnVa8Y’. I ciekawostka, że używają licencji CC-BY-SA 4.0 :)

    Odpowiedz
  • 2014.07.23 16:32 Łukasz

    a co to znaczy ?

    Odpowiedz
  • 2014.07.23 17:04 Had3r

    Podpowiem, windu (bez obrazy, adamie czajkowski) jest mało bezpiecznym systemem. Kiedyś błędy czaiły się w każdej partii kodu. Teraz nie jest tak łatwo, ale nadal można coś znaleźć :)
    http://mowiacwprost.pl/wyszukiwarka/%27
    Błędów jest sporo – gdyby komuś chciało się bawić, niech zbada CSRFy w panelu.

    Odpowiedz
  • 2014.07.23 17:16 Jan

    Czy tylko u mnie strona leży? DDOS czy nadmierne zainteresowanie?

    Odpowiedz
    • 2014.07.23 17:19 X

      Tak, tylko u ciebie :)

      Odpowiedz
  • 2014.07.23 17:21 Hopp

    Propozycje? Wyprawić @redaktora aby strzelił w pysk Be… .Efekt 'murowany”.

    Odpowiedz
  • 2014.07.23 17:28 Jan

    Ciekawe… z polskich IP strona jest dostępna, ale już z niemieckich niestety nie udało mi się dostać.

    Odpowiedz
  • 2014.07.23 19:03 sekurak

    Jak już Adam podlinkował od nas dirbustera, to polecam też „niewinnego” doc-a:

    http://sekurak.pl/sledzenie-otwierania-dokumentow-ms-office/

    Odpowiedz
  • 2014.07.23 19:25 danlop

    Wchodząc na http://www.mowiacwprost.pl/stat u gory pojawia sie link do obrazka z błędami http://wprost/data/themes/mw/img/mw-logo.png. Nba początku pomyślałem że chodzi o wprost.pl by była ładna poszlaka, ale niestety chodzi o http://mowiacwprost.pl/data/themes/mw/img/mw-logo.png, więc to tylko mały błąd. :D

    Odpowiedz
  • 2014.07.23 21:00 ZoczuS

    Huhu, chyba mam pierwszy błąd ;-) szybko poszło.

    Odpowiedz
  • 2014.07.24 07:58 Przemek

    Jakie ukrycie? Przecież musieli podać dane w home, i zrobić przelew – no chyba że przez poczta zapłacili ;)

    Odpowiedz
    • 2014.07.24 09:40 Adam

      Ukrycie przed dziennikarzami, a nie prokuratorem.

      Odpowiedz
  • 2014.07.24 11:55 Marucins

    Tak czy inaczej czas wywalić Pana Bekę że stołka.

    Dosyć!!!!

    Odpowiedz
  • 2014.07.24 12:22 Gandus

    Ktos to czyta, bo usuwa błędy które tu są wypisywanie :)

    Odpowiedz
  • 2014.07.24 13:36 THE://

    WinduCMS – sprawdzic jakie agencje na terenie warszawy etc korzystaja z tego Cms i porownac styl kodu css html ilosc spacji tabulacje używane nazwy class id

    np window.HOME — if lt IE 9 viewport .smnews

    Używali prawdopodobnie SAS compilera do CSS

    dcterms.rights

    korzystaja z bootstrapa nawet plugina slide

    Czy sa tagi: robots :: googlebot — z reguly uzywa sie jednego

    Przeanalizować identyfikator UA-52992966-1 czy zosty utworzone osobne konto dla Google anal enumeracja podobnych identyfikatorow

    Czy nawet tyl href=”/” moze byc inny np href=”./”

    /*!
    * Mowiac wprost main CSS
    *
    * Used components:
    *

    boottrap ma inny naglowek standardowy

    robots.txt

    User-agent: *
    Disallow: /admin/
    Disallow: /do/

    to chyba z cmss

    Taki maly fingerprinting

    Odpowiedz
  • 2014.07.24 17:55 HecSec

    Co by nie powiedzieć jesteśmy w House of Cards – kłamstwa, manipulacje pieniędzmi społeczeństwa, gangsterstwo cala gęba, brak jeszcze morderstw ale to się pojawi bo gdy jest za dużo kłamstw usuwa się nie wygodne osoby kto by to nie był! Przecież wulgaryzm tej rozmowy panów Belki i Sienkiewicza niczym się nie rożni się od mowy przestępców i ich zamiary są tez przestępstwem!

    Odpowiedz
  • 2014.07.24 19:45 Michał

    Mnie się rzuciła w oczy klasa css droppyOne. Spróbowałem wygooglać i znajduje airbike.pl Teraz tylko pytanie kto zrobił airbike.

    Być może się myle. Może zna ktoś jakąś bibliotekę/szablon wykorzystującą klasę droppyOne? Wygląda na agencję wysoko.org z Warszawy

    Pozdrawiam,
    MIchał

    Odpowiedz
    • 2014.07.25 08:20 x

      http://airbike.pl/admin windu… przypadek?

      Odpowiedz
    • 2014.07.25 16:45 Adam

      Witam, oświadczam że tej strony nie zrobiła nasza agencja, elementy o których piszecie istotnie są elementami Windu jednak używamy ich we wszystkich domyślnych szablonach dostępnych dla każdego użytkownika.

      Odpowiedz
  • 2014.07.24 22:22 THE

    WinduCMS – sprawdzic jakie agencje na terenie warszawy etc korzystaja z tego Cms i porownac styl kodu css html ilosc spacji tabulacje uzywane nazwy class id

    np window.HOME — if lt IE 9 viewport .smnews

    Uzywali prawdopodobnie SAS compilera do CSS

    dcterms.rights

    korzystaja z bootstrapa nawet plugina slide
    https://zaufanatrzeciastrona.pl/post/jak-autorzy-strony-mowiacwprost-pl-ukryli-swoja-tozsamosc/#comment-7864
    Czy sa tagi: robots :: googlebot — z reguly uzywa sie jednego

    Przeanalizowac identyfikator UA-52992966-1 czy zosty utworzone osobne konto dla Google anal enumeracja podobnych identyfikatorow

    Czy nawet tyl href=”/” moze byc inny np href=”./”

    /*!
    * Mowiac wprost main CSS
    *
    * Used components:
    *

    boottrap ma inny naglowek standardowy

    robots.txt

    User-agent: *
    Disallow: /admin/
    Disallow: /do/

    to chyba z cmss

    Taki maly fingerprinting

    Odpowiedz
  • 2014.07.25 16:33 Adam

    Jestem autorem Windu CMS i tak się składa że autor strony złamał licencje naszego systemu usuwając informacje z panelu admina, dodam tez że nasze agencje http://www.jcd.pl oraz http://www.wysoko.org nie wykonało tej strony :)

    Odpowiedz
    • 2014.07.28 16:44 enedil

      Co stoi na przeszkodzie napisania do home.pl w sprawie zamknięcia strony?

      Odpowiedz
  • 2014.07.25 19:39 danlop

    czyli belka lamie prawo i zlamal licencje ?

    Odpowiedz
  • 2014.07.28 16:54 enedil

    Działają na Windowsie. Wycinek outputu nmap’a (`nmap -sV -P0 -p 1443 -vv mowiacwprost.pl`):

    1443/tcp open ssl/http Microsoft IIS httpd 8.0
    Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

    Odpowiedz
    • 2014.07.29 23:00 DOgi

      to raczej honey z home.pl

      Odpowiedz
  • 2014.07.28 22:22 Robert

    Zostaje tylko pogratulować panom :)

    Odpowiedz

Zostaw odpowiedź do THE://

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak autorzy strony mowiacwprost.pl ukryli swoją tożsamość

Komentarze