Câte date de tipul ăsta sunt la liber pe internet?

Absolut întâmplător internetul ăsta mare și cuprinzător mi-a oferit într-o bună zi ocazia să dau peste o mică mină de aur cu informații care sunt publice deși nu ar fi trebuit să fie.

Mai întâi, pentru cititorii mai puțin tehnici, să explic cât de publice sunt (erau). Dacă pe un webserver, sub directorul setat pentru a servi informații pe web, creezi mai multe directoare, fișierele sau directoarele care apar acolo fără să existe un index.html/php/whatever, vor fi vizibile și disponibile. Poți să "ascunzi" toată structura asta dacă se creează un index.html (poate fi și gol) în rădăcina structurii servite de serverul web. Dar subdirectoarele pot fi în continuare accesate dacă le știi sau le nimerești calea. În cazul prezentat mai jos, era cunoscută una din căi, celelalte au fost găsite. Dacă cineva are suficient de multă răbdare poate face lucrul ăsta cu câteva unelte disponibile prin linux (dirstalk/dirb) și niște dicționare de cuvinte (pentru a putea încerca variante de căi). Dacă vrei sa verifici toate variantele, ai putea să folosești dicționar generat cu toate variantele de cuvinte de 2,3,4,5 sau mai multe litere. Evident mărimea dicționarului și timpul necesar pentru a descoperi informațiile crește exponențial. Dar mă puteți crede pe cuvânt, pentru 5 litere nu durează CHIAR atât de mult ;).

Dacă vreți o comparație, este ca și cum ați găsi pe o stradă lăturalnică mai multe cutii și ați avea suficientă răbdare să căutați în fiecare dintre ele. Nu sunt informațiile chiar în văzul lumii dar dacă te străduiești puțin ajungi la ele fără să fie nevoie să spargi parole sau servere.

Și acum să trecem la subiect. Serverul de care este vorba este unul pe care au conturi mai mulți utilizatori. Fiecare utilizator poate găzdui pagini web pe un url de forma server/~username/

Cineva cu un cont pe acest server s-a apucat să găzduiască diverse fișiere care țin de instituții mai sensibile ale statului român.

Cum ar fi de exemplu un director dedicat unor fișiere care țin de Ministerul Fondurilor Europene. Mai precis niște fișiere de configurare ale unor echipamente instalate acolo. Am blurat restul, am păstrat vizibilă doar adresa IP publică care conduce către site-ul fonduri-ue.ro. Nu cred că trebuie să explic de ce nu ar trebui să apară fișierele de configurare ale echipamentelor pe undeva pe internet.

Un alt exemplu frumos este un alt director care se cheamă sts. Acesta conține mai multe fișiere cu licențele unor echipamente (și numele unei persoane de legătură). Din nou, am blurat majoritatea informațiilor, am lăsat vizible doar câteva pentru a putea valida informațiile de acolo în cazul în care vreo instituție se sesizează.

Un altul (ăsta a fost ceva mai greu de găsit) a fost um0929. Pentru cei cărora le este lene să caute, um0929 este sediul SRI. Aici este doar un proces verbal de predare primire al unor echipamente (cu model/serie/număr).

Mai există un mfp (am putea să presupunem deja că este vorba de Ministerul Finanțelor Publice) cu un fișier care conține niște licențe ale unor echipamente.

Cu alte cuvinte cineva a folosit un server pe care și-așa aveau acces mai mulți utilizatori pentru a găzdui public niște fișiere cu informații relativ confidențiale. Și ceva mă face să cred că instituțiile respective nu aveau habar pe unde zburdă libere datele astea.

Cine are timp, poate găsi destule exemple de date private puse pe public de oameni care vor o Românie mai bună, dar nu și când e să-și facă ei treaba.

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 5$

36 comentarii

  1. Vezi ca n-ai blurat destul, ~mbunget are un singur rezultat relevant pe google.

    00
  2. De vina e… Cosmin Nerodea! :D Adica pe bune, asa ceva?!? Cum sa te cheme Cosmin Nerodea… Nerodea te cheama, Nerodea esti! :D

    00
  3. Care a fost raspunsul acelor institutii cand le-ai informat despre problema? Banuiesc ca le-ai dat vreo 90 de zile sa rezolve problema inainte sa faci informatiile publice.

    00
  4. Hacăreeee!

    Acuma serios, chiar e de mirat că lucrează așa?

    00
  5. Si lumea era ingrijorata ca ne fura Huawei datele, cand colo ele erau la liber

    00
  6. Gata, au reparat.
    Dar ce te faci cu unele site-uri guvernamentale in php 4, pline de vulnerabilitati, facute acasa de nepotii „geniali in it” ai politicienilor?

    00
    • *nepoate :-D

      00
    • Nu era ceva de „reparat”. Serverul ala e unul comun utilizat de mai multe persoane cu conturi pe el. Alea erau date publicate de pe unul din conturi. Cam ca la un shared hosting, un cont a facut tampenii, nu e vina hostingului sau a celorlalti gazduiti pe acelasi server.
      Si pare ca mai mult a sters de pe acolo. Contul tot exista. Sa avem rabdare, in 1-2 ani o sa puna iar licente si conf-uri de la anaf/sr/sts pe acolo. Sau in alta parte.

      00
  7. daca au reparat asta poate se prind si ei ca 1/8, 6/8 si 7/8 nu sunt RFC1918.

    1 e multi
    6 si 7 e US DoD

    zic si eu

    00
  8. Captain here.
    Pe desteptul asta il cheama Marius Bunget si lucreaza de multa vreme pe la firmele controlate de Sebastian Ghita. De unde si legaturile multiple dintre Marius Bunget cu SRI/STS/MFP/MFE.

    00
  9. într-un din screenshot-uri se vede adresa de email a autorului.

    00
  10. Autorul nu prea e la curent cu noul cod penal. Chiar daca acele fisiere sunt intr-o zona disponibila relativ usor tot nu are dreptul sa le acceseze. Alineatele 1 si 2 vin manusa pe investigatia lui.

    CAPITOLUL VI
    Infracţiuni contra siguranţei şi integrităţii sistemelor şi datelor informatice
    Art. 360

    Accesul ilegal la un sistem informatic

    (1) Accesul, fără drept, la un sistem informatic se pedepseşte cu închisoare de la 3 luni la 3 ani sau cu amendă.

    (2) Fapta prevăzută în alin. (1), săvârşită în scopul obţinerii de date informatice, se pedepseşte cu închisoarea de la 6 luni la 5 ani.

    (3) Dacă fapta prevăzută în alin. (1) a fost săvârşită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricţionat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.

    00
    • Iete pl, si de unde stii daca e acces ilegal? Bagi adresa in browser si merge.
      Pe de alta parte, uite cine are Ironporturi, nu ma asteptam.

      00
    • Care parte din „erau la liber, pe un server web, fără parolă, fără nimic” nu s-a înțeles.
      Trecând peste faptul că titularul contului nu avea el voie din capul locului să expună materialele respective…

      00
    • Atat timp cat acele informatii nu erau oferite public nu avea dreptul sa le acceseze si sa sape in structura sistemului informatic, indiferent ca erau protejate sau nu. Daca nu a primit permisiunea sa acceseze resursele acelea a accesat fara drept un sistem informatic, ceea ce este ilegal si se pedepseste cum scrie mai sus in art. 360 nccp.

      00
    • Nu trebuie sa spargi o usa pentru a intra fara permisiune intr-o incinta. La fel si in cazul sistemelor informatice. Nu poti veni sa spui ca „poarta era deschisa asa ca am intrat si am luat butelia din curte” faptul ca poarta era deschisa si butelia nu era legata cu lant nu iti da dreptul nici sa intri nici sa iei sau sa accesezi in cazul nostru. Intrebati orice avocat si va va lamuri.

      00
    • Pe princiul asta nu poti intra pe nici un site, pentru ca n-ai permisiune explicita inainte sa il accesezi.

      00
    • Pyro, cand intri pe un site trebuie sa iti apara o notificare si sa fii de acord cu niste termeni si conditii. La unii apare la altii nu, dar se considera ca exista un acord de a accesa informatiile oferite public iar utilizatorul accepta termenii si conditiile prin vizitarea paginii. Autorul articolului nu a accesat un simplu link, din greseala o singura data. Sa zicem pe un link a unui rezultat indexat in google. Nu, el a cautat in mod sistematic pentru a descoperi si accesa informatii la care nu avea drept.

      00
    • @Pyro, nu este deloc același principiu. Nu s-a accesat un site public, ci o zonă privată a site-ului, care nu este în mod normal accesibilă publicului. Mai degrabă analogia poate fi cu a scoate 500 de lei din bancomat și a lua cei 500 de lei pe care cineva a uitat să-i ia din bancomat. În momentul descoperirii unei vulnerabilități trebuie anunțat proprietarul. Dacă acesta nu i-a măsuri, sunt anunțate autoritățile.

      00
    • Zona privată ar fi fost privată dacă era protejată de o parolă ceva. Altfel nu prea poți numi zonă privată ceva ce poți accesa fără să ai nevoie de credentiale.
      De exemplu e zonă privată partea de administrare a unui blog. Ca să accesezi zona aia, ai nevoie de o parolă. Dar url-ul spre wp-admin nu e privat, deși poate nu este afișat undeva in pagina principala (doar ce e după).

      00
    • Au fost accesate date publicate pe un server din poli.
      În cel mai rău caz, cei de acolo ar putea să aibă de comentat despre modul în care au fost accesate. Dar mai curând zic eu că ar avea de comentat despre faptul că existau acolo acele date. Pentru că dacă cineva scoate documente confidențiale din firmă și le pune pe undeva, în primul rând el ar trebui să fie tras la răspundere, nu cei care, în urma acțiunilor primului, au dat peste acele documente care altfel ar fi fost private.

      00
    • @valeriu: esti complet pe langa si am senzatia ca tu cam lucrezi la stat, poate chiar intr-una din aceste institutii, judecand dupa cata logica ai.
      daca vrei analogie iti pot spune eu una: un individ pune date secrete pe o hartie si o lipeste intre alte hartii afisate public la un avizier. acuma ca cineva este acolo sa isi schimbe buletinul si citeste si ce era pe langa foaia care se referea strict la schimbarea buletinului.. e cam greu sa fie acuzat. lipseste partea de intentie, mai ales ca in cazul asta omul a protejat datele, spre deosebire de cel care le-a expus.
      dupa gandirea ta ca sa fie facut dosar cuiva nu trebuie decat sa ii fie puse niste hartii cu date secrete pe masa si in momentul in care se uita sa vada ce e cu ele poate fi direct arestat

      00
  11. Nu se aplică mai nimic din articolul ăla, nu e acces fără drept. E un server web cu fișiere accesibile oricui. Nu există restricții prin parole, către anumite categorii de utilizatori, etc. Sunt efectiv fișiere pe care absolut oricine cu un browser web le putea accesa oricând.
    Mai curând „poarta era deschisă și am văzut proprietarul în cucul gol prin curte”.

    00
  12. Recent s-a ridicat o exceptie de neconstitutionalitate referitor la ce spuneti voi, ca era public, nu era clar, normele nu prevad etc.

    „Pentru aceleași rațiuni, forma agravată (alin 2) subzistă și atunci când nesocotirea restricției este facilitată de disfuncțiile sau carențele sistemului de protecție, care permit înlăturarea sau ocolirea/eludarea facilă a protecției.”

    Printati si cititi.
    http://legislatie.just.ro/Public/FormaPrintabila/00000G24NTFPPC37V7H14UD5X9XM9U04

    00
    • Matale spui că există o protecție (și ai rămas blocat acolo) iar restul îți spune că nici nu era vorba despre așa ceva. Nu exista protecția, erau accesibile fără probleme. Un server web asta face, expune public niște documente. Pot fi ulterior protejate cu parolă, dar nu era cazul aici.

      00
  13. undeva prin 2015 se gasesc 2 arhive .rar facute undeva prin 2013, in care erau cateva xls-uri cu datele cetatenilor din circuscriptiile de vot folosite la alegerile din 2014.

    dupa zeci de mail-uri, explicatii si telefoane … timp de 20 zile, au reusit sa puna un kkt de index gol si au blocat robots-ul sa nu ii mai indexeze, dar daca aveai deja tree-ul puteai lejer sa acesezi fisierele in continuare.

    macar de erau parolate arhivele, nu ca ar fi contat pentru cine cu rabdare multa, dar macar era ceva

    00
  14. Ca tot s-a facut un an de cand budisteanu i-a atacat blogul lui vali, imi aduc aminte cand zicea cineva ca budisteanu e o marioneta pregatita pentru politica si se pare ca avea dreptate.

    Dupa ce si-a dat seama ca webdollar e degeaba, a lucrat cateva luni la o clona de reddit, https://katcafe.org/ (https://github.com/katcafe – foarte original proiectul, demn de un inventator ca el).

    Dupa ce a vazut ca nu intra nimeni pe noul reddit, le-a propus tatucul voiculescu ca ii ajuta intr-o combinatie: site-uri pentru primarii pe 5k Euro bucata. Asa a aparut https://aipss.ro/ – unde budisteanu si panait, marii experti in securitate sigur vor face treaba de calitate.

    Cred ca in viitor o sa tot iasa la suprafata lucrari de mantuiala facute de „genii de partid”.

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Susținere

Susține acest blog cumpărând de la eMAG sau de la Finestore.