Tylko na Antyweb : Rozmowa z Alexandrem Dreyfusem, szefem Thehendonmob.com który oskarża o "kradzież danych" polskie Ministerstwo Finansów

Wczorajsza sytuacja i oskarżenia jakoby nasze Ministerstwo Finansów pobrało profile użytkowników poprzez crawlowanie danych z największej bazy pokerzystów na świecie (Thehendonmob.com, ok. 400 tysięcy profili) wydała mi się na tyle sensacyjna iż postanowiłem zgłębić temat.

Zapraszam was do przeczytania, krótkiego wywiadu z Alexandrem Dreyfusem szefem Thehendonmob.com a następnie do zapoznania się z wypowiedzią Piotra Koniecznego z Niebezpiecznik.pl na temat podszywania się pod numer IP. Te dwie informacje/wypowiedzi powinny pokazać, że faktycznie coś jest na rzeczy jeśli chodzi o oskarżanie MF o pobieranie danych. Nie wiadomo oczywiście, czy była to inicjatywy prywatna czy na zlecenie urzędu.

GM : Cześć, mówisz po polsku? Zauważyłem, że tweetowałeś z ministrem w naszym języku.

AD : Nie, mówię po angielsku

GM: Ok, czy mógłbyś mi powiedzieć jakiego rodzaju dowody masz na to, że dane zbierane były przez komputery (numery IP) należące do Ministerstwa Finansów w Polsce. Napisałem o tej sytuacji na Antyweb i teraz chciałbym mieć również twój komentarz.

AD : Ok, najprościej mówiąc, serwery thehendonmob.com były crawlowane przez bot pochodzący z mf.gov.pl było to w końcówce grudnia. Zablokowaliśmy IP z którego pochodził ten bot ale wtedy oni zaczęli zmieniać numer IP. Przez ponad 4 dni używali różnych IP pochodzących z mf.gov.pl do wydobycia danych z naszego serwisu. Jest to niezgodne z prawem obowiązującym w UK oraz w EU.

W sumie pobranych zostało 200 tysięcy profili naszych gracz (mamy ich 400 tysięcy).

Na naszej stornie są bardzo jasne informacje o tym, że dane są naszą własnością i nie będziemy tolerować ani rządowych ani prywatnych prób ich pobrania i wykorzystania.

GM : Czy pobierali dane tylko o polskich zawodnikach?

AD : Starali się pobrać całość bazy, ale zakładam, że chcieli sprawdzić właśnie lokalnych graczy.

GM : Czy byliście w jakiś sposób zabezpieczeni przed taką sytuacją?

AD : I to jest zabawne, kiedy pierwszego dnia zorientowaliśmy się, co się dzieje, nasz zespół security włączył się do akcji. Dzięki temu bot pobierał nieprawdzie (fake) dane.

Nasze dane są chronione przez prawo EU i regulacje unijne, tak więc takie działania są nie tylko pogwałceniem naszych regulacji wewnętrznych (terms and conditions) ale również prawa własności.

GM : Czy przechowujecie u siebie w bazie jakiegokolwiek informacje o graczach online, pytam bo ten typ gier i grania jest u nas ściśle regulowany przez prawo

AD : Nie mam żadnych danych o graczach online. Jesteśmy największą bazą graczy offline'owch. Nie przechowujemy również żadnych informacji o grach online.

Czytaj dalej poniżej

Czas wearable dopiero nadchodzi Maciej Sikorski

Internet odbiera telewizji rynek zbytu i robi to w białych rękawiczkach Konrad Kozłowski

GM : No to robi się naprawdę zabawnie...

AD : Jesteśmy firmą Europejską z 12-letnią historią. Współpracujemy z 1450 kasynami na całym świecie w 95 krajach i taka sytuacja i takie zachowanie przydarzyło nam się pierwszy raz.

Moja wiadomość do ministra finansów była dość jasna : nawet nie próbujcie użyć naszych danych albo was pozwiemy. Każdy cent który z tego pozyskamy zostanie przekazany polskiej społeczności graczy po to, aby walczyć z takimi nonsensami.

GM : Prawdopodobnie nigdy się nie dowiesz czy te dane były użyte.

AD : Będziemy to wiedzieć od graczy, z którymi w jakimkolwiek celu skontaktują się władze… Swoją drogą, dla człowieka technicznego było zabawne oglądanie jak MF.GOV.PL zmienia IP (sub-domeny) aby pobrać dane. W końcu człowiek, który to robił, użył swojego prywatnego komputera w domu. Mamy wszystko w logach. :)

GM: Nie żartujesz?

Nie, to był jedne facet, developer który stworzył kod i bota lub użył bota i wykorzystał go do pobierania danych.

Poprosiłem na Twitterzem ministra o dodanie mnie do kontaktów, aby wyjaśnić tę sprawę.

GM : Kiedy była ostatnia próba pobrania danych ?

AD : Nawet dzisiaj, dlatego zaczęliśmy o tym głośno mówić.

GM : Czy zamierzasz się skontaktować z Ministerstwem Finansów w Polsce w sposób bardziej formalny ?

AD : Tak, skontaktowaliśmy się z prawnikami i zamierzamy wysłać oficjalne pismo w tej sprawie.

Byłem mile zaskoczony, że wasz minister odpowiada i udziela się sam na Twitterze (to się nie zdarza we Francji) i, tak jak wcześniej wspomniałem, tu nie chodzi o politykę w Polsce. Nasze przychody z Polski wynoszą zero euro. To jest kwestia zasad.

GM : Czy podzielicie się z nami tym pismem, jak już je wyślecie?

AD: : Tak, jak tylko wyślemy oficjalne pismo.

GM : Ostatnie pytanie - jak weryfikowaliście IP? Czy przy użyciu bazy WHOIS czy poprzez zapisy w revdns?

AD : WHOIS i sprawdzaliśmy numery IP. Ostatecznie zdecydowaliśmy się zbanować cały zakres IP ministerstwa.

GM : Dzięki za rozmowę i czekam na dokumenty.

Teraz wspomniana wyżej wypowiedź Piotra Koniecznego z Niebezpiecznik.pl. Pytanie, jakie zadałem to czy łatwo podszyć się pod czyiś adres IP. Pytałem oczywiście w kontekście powyższej informacji oraz sugestii ministra na Twitterze, jakoby takie działanie była prowokacją. Generalnie też chciałem się dowiedzieć czy domorosły hacker jest w stanie "wrobić" ministerstwo w taką "sytuację".

Oto wypowiedź Piotra :

Podszycie się pod czyjś adres IP (zespoofowanie go) jest z jednej
strony trywialne, a z drugiej bardzo ciężkie do osiągnięcia - wszystko
zależy od tego za pomocą jakiego protokołu chcemy się łączyć z
docelowym (atakowanym?) hostem.

Jeśli rozpatrujemy protokół UDP (często wykorzystywany w atakach DDoS)
to wystarczy po prostu zbudowanie datagramu z podrobionym nagłówkiem
np. przy pomocy narzędzia hping z parametrem "-a". Dlatego tak ciężko
jest namierzyć prawdziwe "źródło" niektórych ataków DDoS.

Jeśli zaś mowa o protokole TCP, który (mocno upraszczając) jest
używany do "przeglądania stron internetowych", to podrobienie adresu
źródłowego też jest trywialne, ale zestawienie pełnoprawnego
połączenia (tzw. tree way handshake) wymaga już wielu zaawansowanych
sztuczek. Cel ataku musi bowiem, przed zestawieniem pełnego
połączenia, odpowiedzieć na nasz podrobiony pakiet, a my tę odpowiedź
musimy dodatkowo potwierdzić. Problem w tym, że jej nie otrzymamy, bo
zostanie skierowana do adresu IP, pod który się podszywamy. Wymiana
danych podczas ataku podrobienia adresu IP wygląda więc mniej więcej
tak:

A->B: Chce się z Tobą połączyć, jestem X

B->X: Cześć X, na pewno chcesz się ze mną połączyć?

X->B: WTF? Spadaj.

O ile istnieją różne techniki pozwalające nam na przechwycenie
komunikacji na trasie B->X, to nie należą one do najłatwiejszych i
leżą poza możliwościami większości domorosłych atakujących (nie
stanowi to jednak problemu dla NSA, które bardzo często z nich
korzysta w ramach projektu o nazwie QUANTUM). Z reguły należy wykonać
tzw. atak man in the middle, czyli, w większości przypadków zaatakować
jakiś router na trasie B-X i zmodyfikować jego tablicę routingu.

O wiele łatwiej spoofing IP przeprowadzić w sieci lokalnej, gdyż w
LAN-ie łączność pomiędzy komputerami nawiązywana jest tak naprawdę na
bazie adresów MAC. Tłumaczeń IP-MAC dokonuje leciwy, bo powstały w
latach 70-tych, protokół ARP, który był projektowany kiedy internet
(arpanet) był przewidziany jako sieć zamknięta i zaufana, więc nie
wbudowano w niego żadnych mechanizmów bezpieczeństwa. Można więc
"zatruć" tablicę ARP atakowanego hosta.

Jeśli wiec rozpatrujemy sytuację, że ktoś, kto crawluje serwis
pokerowy spoofuje (podszywa się pod) klasy adresowe Ministerstwa
Finansów, to w mojej ocenie jest to małoprawdopodobne. Koszt i stopień
zaawansowania takiego ataku znacznie utrudnia zadanie. Zdecydowanie
proście i taniej jest puścić crawler przez serwer proxy lub sieć
TOR-a.

Piotr Konieczny, szef zespołu bezpieczeństwa Niebezpiecznik.pl,
serwisu internetowego i zarazem firmy, która zajmuje się atakami na
sieci komputerowe innych firm (za ich zgodą) w celu znalezienia dziur
w bezpieczeństwie, zanim zrobią to inni.

Wnioski możecie wyciągnąć sami.