Prowadzenie serwisu poświęconego bezpieczeństwu komputerowemu obarczone jest sporym ryzykiem – część adeptów sztuki komputerowej będzie próbowała przetestować na nas swoje umiejętności i czasem można trafić na lepszych od siebie.
No i po 3 latach stało się – wygląda na to, że ktoś dobrał się do naszej największej konkurencji. Na razie nie mamy dokładnych informacji, ale według wpisów z wykop.pl prawdopodobnie od około 19:30 adres www.niebezpiecznik.pl przekierowywał na stronę http://pastebin.com/raw.php?i=cMsxJTqu. Od 19:55 strona jest niedostępna. Jako że autor Niebezpiecznika już dawno przepowiadał, że kiedyś go zhakują, czekamy z niecierpliwością na obiecywany artykuł pt. „Jak nas zhakowali”. Jako że 0day na WordPressa jest mało prawdopodobny, to obstawiamy przejęcie konta w CloudFlare albo inne kombinacje z DNSami prawdopodobnie podmieniono plik JS wczytywany z zewnętrznego serwera.
Zhakowali Niebiezpiecznika
PS. Gdyby nie niedostępność serwisu i długi manifest z Pastebin, pomyślelibyśmy, że to ciąg dalszy świetnych żartów primaaprilisowych zespołu Niebezpiecznika…
PS2 Lektura manifestu „włamywaczy” jest bardzo interesująca – piszący wykazuje się sporą wiedzą o polskiej branży bezpieczeństwa, działaniach zespołów CERT i alternatywnych pseudonimach Piotrka…
Aktualizacja 21:10 Na Wykopie pojawił się komentarz, sugerujący, że do włamania doszło przez podmienienie skryptu JS, który znajdował się na innym serwerze i był używany przez Niebezpiecznika. Teoria ta pasuje do oświadczeń włamywaczy („to nie jest wlam na serwer niebezpiecznikowy”).
Aktualizacji 21:25 Tekst manifestu na Pastebinie pojawił się już… 2 dni temu w odrobinę dłuższej wersji (tu porównanie – po lewej wersja opublikowana na Niebezpiecznik.pl, po prawej sprzed 2 dnich).
Aktualizacja 22:10 Niebezpiecznik wrócił do świata żywych, czekamy teraz na wyjasnienia.
Aktualizacja 22:30 Niebezpiecznik opublikował opis incydentu pod tytułem Dołączyliśmy do grona największych. Jako metodę włamania podał „podatność w skrypcie reklamowym zewnętrznej firmy”. Co prawda Niebezpiecznik nie wskazał źródła problemów, ale jak zauważył w komentarzach pne, z Niebezpiecznika zniknęły skrypty AdTaily podobno AdTaily nie korzystał już z JS, za to ze strony zniknęły reklamy wczytywane z serwera Helionu. My nie mamy reklam, więc nas pewnie zhakują innym sprytnym sposobem :)
Komentarze
troche slaby wlam technicznie, nie bedzie za bardzo o czym pisac, jebneli pewnie helion.pl i podminili JS do wyswietlania reklam z ksiazkami.. jednak chyle czola za ROI tego ataku
Na jednym ze screenshotów na wykopie widać, że tekst pojawiał się czarnymi literami także na layoucie strony (ale był ledwo widoczny, z racji czarności tła) – jestem pewien, że to podmianka jakiegoś pliku JS – zapewne właśnie hostowana na CDN-ach, wątpię w atak na reklamodawców czy innych dostawców dołączanych skryptów (swoją drogą – nigdy na swoją stronę nie wrzucę JS z jakichś cache CDNów Googla czy kogokolwiek – jeden udany atak i miliony przypadków kradzieży ciastek gotowe).
Z ich kodu zniknęło AdTaily. To tam musiał być problem.
AdTaily nie mają na stronie już od długiego czasu więc to jakiś inny skrypt.
Ostro jedzie po Koniecznym, ale nauczyłby się pisać polskie znaki, bo aż oczy bolą…
Kurde, te artykuły tak motywują, aby usiąść i szukać krytyków w wordpressie… wszystko po to, by zapisać się na kartach historii ;-)
Warto zapoznać się z poniższym tekstem, bo w przekonujący sposób pokazuje, że włam wcale nie był tak niegroźny jak to się zwykło pisać.
http://www.wykop.pl/link/1470851/ciekawy-komentarz-na-temat-wlamu-na-niebezpiecznik-pl/
Kpili sobie z „Cyberberkutu” (przy okazji ataku na prezydent.pl i GPW), kilkakrotnie próbowałem zwrócić im uwagę, że pierwszym krokiem do porażki jest niedocenianie przeciwnika i lans (np. w TV jak robili) – co skutkowało brakiem przejścia przez ich „moderację” hehe… Pech chciał, że przypomniałem się im wczoraj i natychmiast zamilknęli na dobre… A ja sobie tylko spokojnie piwko piłem i oglądałem krajobrazy znajomej na picasaweb…
A już się uśmiałem, że probują pokazać mi, że mnie blokują :)
Ale patrzcie – zarówno tu, jak i tam mam otwartą przyłbicę (mail). Ale to różnica klasy – zaufana3strona 3ma klasę!
Informacje o powrocie niebezpiecznika „do żywych” są zaklinaniem rzeczywistości. Nadal klęczą… Niedługo zaczną gnić…
:)
Ooooo, pojawili się….
Może zrobimy zrzutę na admina dla niebezpiecznika, żeby nie przynosili wstydu?