Telekomunikacja jak na dłoni
Wiadomości Fatalne zabezpieczenia serwerów Orange

Fatalne zabezpieczenia serwerów Orange

WitekT 23 Maja 2006 12:08

0 0

W Centertelu panuje totalny bałagan w kwestii polityki bezpieczeństwa. W tej chwili każdy Internauta może mieć dostęp do oferty Orange co najmniej kilkanaście godzin przed jej oficjalnym opublikowaniem. Niemożliwe? A jednak…

W tej chwili dostęp do katalogu z dokumentami Idei i Orange możliwy jest z poziomu najzwyklejszej przeglądarki www. Nie trzeba wykonywać żadnych innych czynności poza wpisaniem odpowiedniego adresu. Skorzystaliśmy okazji i zdobyliśmy w ten sposób kilkaset megabajtów ciekawych plików. Zapewne zanim dziura zostanie odkryta przez pracowników telekomu, uda nam się zdobyć informacje na temat najnowszych ofert operatora jeszcze przed ich oficjalnym opublikowaniem.

Wśród regulaminów i innych promocji, mniej więcej od 1998 roku, można znaleźć kilka ciekawych dokumentów, na przykład ofertę firmy Comarch na dostarczenie Centertelowi serwerów. Dokument z 2002 roku ma status Poufne. Nie wyrządzimy raczej żadnej szkody materialnej publikując go – a konkurencja niech sobie go poczyta i oceni czy miała lepszą, czy gorszą pozycję w Comarchu od Centertela. ;-)

Jacek Kalinowski, rzecznik grupy TP, zapowiedział zbadanie tej sprawy. Jeżeli nasze doniesienia się potwierdzą, to firma podejmie stosowne kroki w tej sprawie.




To już druga z kolei dziura w polityce bezpieczeństwa serwerów Centertela. Od trochę ponad miesiąca działała też inna metoda oparta o brute-force - szalenie skuteczna, wykorzystująca błąd w portalu i pozwalająca praktycznie w niezauważony sposób zobaczyć dokumenty, które dopiero mają zostać opublikowane w portalu Orange. Jednak ta odkryta kilka dni temu daje nieporównywalnie większe możliwości i bardziej ciekawe wyniki.

[Aktualizacja]

23. maja o godzinie 15:45 plik z ofertą został usunięty z naszego serwera na prośbę firmy Comarch. Nie chcemy zaogniać sytuacji, ale mamy cichą nadzieję, że udało nam się choć trochę zmobilizować Centertela do pracy nad swoją polityką bezpieczeństwa.

Źródło tekstu: wł     

Dodaj do:
w sumie: 92
  • 0

    73.  2006-05-24 11:17:55

    @muddy - jasne, tylko ze logujac sie bez SSL ktos bedzie mial toje haslo i ci pozmienia ustawienia w orange on line i zmieni haslo i masz problem :D - co do recznego wpisywania "https" niestety tak robie... ale to idiotyzm! nie porsciej wstawic opcje do zaznaczenia i kto chce mial by po SSL? operator ma odpowiednie warunki aby sprostac wymagania takiej transmisji i to dla wielu osob - cache przy odp. konfiguracji buforuje SSL a jak ktos umiejetnie to zrobi to jeszcze bedzie: serwer (ssl 128bit) chace (ssl 40 bit) klient...

  • 0

    74.  2006-05-24 11:19:04

    ps. przy logowaniu tylko zmeiniam na https...

  • 0

    75.  2006-05-24 11:33:52

    blom: ale logujesz się PRZEZ SSL. Zrozum to... To, że o tym nie wiesz, nie znaczy, że tak nie jest. Przykład: wchodzisz na poczta.interia.pl, wpisujesz login i hasło, możesz dopiero WYBRAĆ, że logujesz się przez SSL. A w orange.pl nie musisz wybierać - po wpisaniu loginu i hasła i wciśnięciu "Zaloguj" dane są przesyłane przez SSLa (dokładny URL: https://www.orange.pl/portal/map/map/homeo?_DARGS=/gear/static/login.jsp). Zaraz po tym następuje "przekierowanie" na stronę, która jest wysyłana bez SSLa. Już rozumiesz?

  • 0

    76. ~Pawrzes  2006-05-24 15:41:41  host: prosie11-1.aster.pl

    Dziurą zainteresowała się "Rzepa" http://rzeczpospolita.pl/gazeta/wydanie_060524/ ekonomia/ekonomia_a_15.html

  • 0

    77.  2006-05-24 16:07:00

    @muddy - niech ci bedzie ale ale zawsze wole pelna transmisje po ssl - jak jzu przytoczyles poczte na interii mam tam konto plus i cala transmisje mam szyfrowana ijakos to im nie przeszkadza

  • 0

    78. ~gz  2006-05-24 16:19:20  host: rowmp1.pu.kielce.pl

    i bardzo dobrze grupie france telekom.france jedne.co wy myslicie ze czarny PR to wyobraznia dziennikarzy,zycze wiecej niepowodzen czy technicznych czy wizerunkowych i orange i tp.francuska dojarka..co najgorsze wierze w wiekszosc tych rewelacji,kumpel ze skierniewickiej 10 potwierdza;-)))

  • 0

    79. ~do_grona  2006-05-24 16:49:21  host: abz82.internetdsl.tpnet.pl

    a może ten twój stary numer przeszedł na kogoś innego z twoim kontem? a ten ktoś inny nie używa serwisów orange a reszta została ze starego abonenta? szkoda że nie pamiętam jaki był numer mojego ojca sprzed paru lat ciekawe co by mi wyskoczyło :)

  • 0

    80. ~telepies  2006-05-24 17:29:29  host: abtx231.neoplus.adsl.tpnet.pl

    Ciekawe jak się ma do tej checy " Certyfikat dla Centertela/Orange otrzymała Certyfikat Rejestracji zgodności z BS7799-2:2002. PTK Centertel jest jednym z nielicznych klientów w Polsce, który otrzymał potwierdzenie wdrożenia i uzyskania certyfikatu systemu zarządzania bezpieczeństawa informacji "

  • 0

    81. ~gron  2006-05-24 17:50:36  host: host-81-190-157-21.olsztyn.mm.pl

    no wlasnie chodzi o to ze przeszedl i sumie jak bym chcial to bym mogl komus niezle namieszac...

  • 0

    82.  2006-05-24 19:00:14

    Witek: chcesz powiedziec ze na takim serwisie w Polsce nie da sie zarobic? Macie przeciez aktualnie chyba najlepsza baze newsow, wszystko na biezaca, jak sam powiedziales jestescie na drugim miejsuc pod wzgledem ogladalnosci w kraju a starcza na oplacenie serwera? Nie chodzi mi o to zebys podawal konkretne liczby ale myslalem ze dla 3 redaktorow (tylu was jest) bez problemu starcza na srednia krajowa lub cos kolo tego.
    Telepies: Interesuje mnie na podstawie czego oni daja te certyfikaty :/

  • 0

    83. ~  2006-05-24 19:53:57  host: abtx231.neoplus.adsl.tpnet.pl

    Dragon: nie wiem, ale wyczytałem to w ostatnim Świecie Telekomunikacji na 4 stronie. Pewnie z a coś dają. Pewnie nawet nie sprawdzają tylko bankiecik, wódeczka, miła gadka, pieniążki i certyfikacik jest. To nie wybór świętego :)

  • 0

    84.  2006-05-24 19:54:56

    Dragon: ano niestety, taka jest prawda. Wie to każdy, kto prowadzi jakiś wortal z sensowną widownią. Rynek reklamy bardzo mocno popsuły portale, które puszczają 1k odsłon na śmieciowych czatach czy logodzwonkach za 1 zł. U nas cennik NA START to 60 zł za tyle samo. Wiadomo - są zniżki i to bardzo duże. Jednak przychodami trzeba się podzielić z agencją - pół na pół. Sam widzisz, że specjalnie dużo reklam to u nas nie ma...

  • 0

    85.  2006-05-24 20:08:24

    A jeszcze, żeby rozwiać płonne nadzieje "co poniektórych" - nie, z tego powodu nie przestaniemy prowadzić tego serwisu. ;)

  • 0

    86. ~wlo  2006-05-24 21:00:01  host: ati3.neoplus.adsl.tpnet.pl

    WitekT - mi nie zależy na tym, żebyście zamknęli serwis - jest bardzo dobry ;-) Zarabiać też powinniście - samo się nie robi - pracy trzeba włożyć w prowadzenie tak dobrego portalu (chociaż niektórym się zdaje, że można mieć wszystko za darmo - nie - nic nie ma za darmo). Nie jestem na cudzym garnuszku, sam sobie daję pracę i sam sobie płacę - wiem doskonale jak to jest ;-)

  • 0

    87.  2006-05-24 21:08:58

    wlo: ano powinniśmy. Niby wszystkie raporty, analizy i badania Internetu mówią, że miejsce dla takich serwisów tematycznych jak nasz będzie zawsze, ale gdybyśmy nie robili przy okazji innych rzeczy, to padlibyśmy z głodu. ;)

  • 0

    88.  2006-05-24 22:05:19

    zalosne warunki, ile w takim razie trzebaby miec odwiedzin/jakie spelniac warunki zeby moc zajmowac sie tylko serwisem, bez zadnych "pobocznych zlecen" ?

  • 0

    89. ~getITright  2006-05-25 10:56:31  host: phantom.teldom.pl

    *wlo - jakie paragrafy ? to Ty nie wiesz że pomawianie kogokolwiek o cokolwiek narusza jego dobra osobiste ?

  • 0

    90. ~wlo  2006-05-25 19:35:43  host: anz125.neoplus.adsl.tpnet.pl

    getITright - dopóki nie wskażesz paragrafu, że pomawianie to naruszanie dóbr osobistych, że to jest występek itp. - nie jest tym ;-) Normy prawne, moralne itd. regulują wszystko - toże ktoś mówi że Mietek to pedał, nie pomawia go dopóki nie ma na to paragrafu ;-) Bo co to jest te "dobra osobiste"?
    Ja wiem że zabijać nie wolno... A dlaczego niby nie wolno?

  • 0

    91. ~wlo  2006-05-25 19:43:24  host: anz125.neoplus.adsl.tpnet.pl

    hmmm... jak zaogniać? napięcie gdzieś z tego powodu zaczęło niebezpiecznie rosnąć??

  • 0

    92. ~getITright  2006-05-26 01:07:03  host: phantom.teldom.pl

    *wlo - na to jest paragraf, poszukaj sobie bo mi się nie chce, a dlaczego nie wolno zabiajć? bo to narusza czyjąś prywatność, delikatnie mówiąc

Dodaj swoją opinię

Do prawidłowego działania formularza wymagana jest akceptacja plików cookie.

host: ec2-184-73-47-110.compute-1.amazonaws.com


Serwis TELEPOLIS.PL zastrzega sobie prawo redakcji, skrótów, bądź usunięcia opinii zawierającej treści zabronione przez prawo, wulgarne, obraźliwie lub w inny sposób rażąco naruszające zasady współżycia społecznego. Komentarze są opiniami czytelników, za które ponoszą oni wyłączną odpowiedzialność. Nie są oficjalnymi opiniami serwisu TELEPOLIS.PL i jego redakcji. Jednocześnie przypominamy, że osoba zamieszczająca opinię może ponieść za jej treść odpowiedzialność karną i/lub cywilną.
Usuwane będą także komentarze zawierające oferty handlowe, numery telefonów, adresy e-mail czy komunikatorów oraz komentarze mocno odbiegające od treści wiadomości.