Moje przemyślenia

[Aktualizacja] No i ktoś zrobił to Niebezpiecznikowi

GM
Grzegorz Marczak
43

Serwis Niebezpiecznik.pl od dłuższego czasu jest niedostepny, wcześniej natomiast z adresu niebezpiecznik.pl przenosiło na stronę gdzie można było przeczytać coś na kształt manifestu "włamywacza". Sugerował on, że cała akcja z włamaniem to swojego rodzaju pstryczek w nos dla ekipy Niebezpiec...

Serwis Niebezpiecznik.pl od dłuższego czasu jest niedostepny, wcześniej natomiast z adresu niebezpiecznik.pl przenosiło na stronę gdzie można było przeczytać coś na kształt manifestu "włamywacza".

Sugerował on, że cała akcja z włamaniem to swojego rodzaju pstryczek w nos dla ekipy Niebezpiecznik.pl. Z dostępnych informacji można wywnioskować, że tak zwani włamywacze wykorzystali skryptu JS który był przetrzymywany na innym serwerze a używany w serwisie Niebezpieczni.pl (zresztą w manifeście jest też tego typu sugestia).

Na chwilę obecną Piotr Konieczny nie komentował jeszcze całej sytuacji, tak samo nie ma żadnych wiadomości na profilu Niebezpiecznik na Facebooku. Sytuacja dla załogi z pewnością nie jest przyjemna, organizują szkolenia związane z bezpieczeństwem i teraz nawet jeśli wina nie leży po stronie zabezpieczeń ich serwera to i tak przy każdej okazji będą musieli się z tej sytuacji tłumaczyć.

Nie jest łatwo być "popularnym" specem od bezpieczeństwa, każdy będzie próbował nas sprawdzić, wielu będzie uważać nas za amatorów i pojawi się wielu którzy udowodnią, że się nie znam. Wystarczy jeden prosty błąd i wpadka gotowa. Kiedyś musiało się to przydarzyć.

[Aktualizacja]

Strona Niebezpieczni.pl jest już dostępna - czekam na artykuył z opisem tego co się wydarzyło i jak doszło do "włamania"

No i już wiadomo co się stało, zgodnie z wcześniejszymi przypuszczeniami winny całemu zajściu okazał się zewnętrzny skrypt który był wykorzystywany również na Niebezpiecznik

Dyskusyjny plik (celowo nie podajemy jego nazwy, czekamy aż prawdziwa ofiara ataku załata dziurę) includujemy i whitelistujemy w naszej polityce CSP. Kiedy na ostatnim spotkaniu OWASP w Krakowie opowiadałem o CSP i tym jak pomaga ono w ochronie przed XSS-ami, wspomniałem o tym, że i CSP da się “zhackować” — o ile atakujący dostanie się na zawhitelistowany serwer, z którego załączamy jakieś zasoby w kontekście naszej strony. I dokładnie to stało się dziś — ktoś przełamał zabezpieczenia nie Niebezpiecznika a jednej z firm z którą współpracujemy i do której to odwołujemy się poprzez załączenie skryptu.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

Bezpieczeństwoniebezpiecznik