Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Maanantai, 13.8.2007

YK:n nettisivuille tunkeuduttiin

Yhdistyneiden Kansakuntien nettisivut joutuivat viikonloppuna tietomurron kohteeksi. Osa sivustosta jouduttiin sulkemaan iskun vuoksi. YK:n pääsihteerin Ban Ki-Moonin lausuntoja varten varatulle sivulle ilmaantui sloganeita, joissa syytettiin Yhdysvaltoja ja Israelia lasten tappamisesta. Tunkeutujat, jotka kutsuivat tekoaan nimellä "kyberprotesti", muokkasivat muitakin YK:n verkkopalvelun sivuja.

Teon suorittaneet nimimerkit "kerem125", "Gsy" ja "MÜsted" ovat aikaisemmissa iskuissaan ilmoittaneet olevansa turkkilaisia. YK:n sivuille he jättivät viestin, joka kuului englanniksi: "Hey Ysrail and Usa dont kill children and other people Peace for ever No war." Samat nimimerkit ovat aiemmin tunkeutuneet useille sivustoille.

Lue juttu K2, 13.8.2007 00:03. Lähde: BBC

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 8 uutta / 8 )
pistettä.
Näytä vain kommentit joilla on vähintään
JoPo Re: YK:n nettisivuille...
JoPo, 13.8.2007 07:24:12		 Pisteet: 0
"tungeuduttiin" on varmaan jotain Haxor-kieltä?
http://www.google.fi/search?hl=fi&q=tungeudutt...
-----------------
Jouni
kenu Re: YK:n nettisivuille...
kenu, 13.8.2007 13:23:27		 Pisteet: 0
"tungeuduttiin" on varmaan jotain Haxor-kieltä? http://www.google.fi/search?hl=fi&q=tungeudutt...
Nyt klo 13 paikkeilla näkyy otsikko hiljaisesti muutetun...
Re: YK:n nettisivuille...
K2, 14.8.2007 14:57:48		 Pisteet: 0
"tungeuduttiin" on varmaan jotain Haxor-kieltä? http://www.google.fi/search?hl=fi&q=tungeudutt...
Nyt klo 13 paikkeilla näkyy otsikko hiljaisesti muutetun...
Miten sitä muutetaan äänekkäästi?
kenu Re: YK:n nettisivuille...
kenu, 15.8.2007 00:24:02		 Pisteet: 0
"tungeuduttiin" on varmaan jotain Haxor-kieltä? http://www.google.fi/search?hl=fi&q=tungeudutt...
Nyt klo 13 paikkeilla näkyy otsikko hiljaisesti muutetun...
Miten sitä muutetaan äänekkäästi?
Hiljaisesti on muuttamista ilman mainintaa tekstissä tai versiohistoriassa, tietoturvarintamalta tullut termi. Esim. Microsoft korjaa MSIE:n aukkoja osana kuukausipäivityksiä julkistamatta korjauksista mitään tietoja.
Re: YK:n nettisivuille...
K2, 15.8.2007 10:05:35		 Pisteet: 0
Hiljaisesti on muuttamista ilman mainintaa tekstissä tai versiohistoriassa, tietoturvarintamalta tullut termi. Esim. Microsoft korjaa MSIE:n aukkoja osana kuukausipäivityksiä julkistamatta korjauksista mitään tietoja.
Koodi ja sen versiohistoria on hieman eri asia kuin uutinen. En tiedä yhtäkään uutispalvelua, joka korjaisi typoja niin, että ilmoittaisi jutun lopussa "lisätty välilyönti siihen ja siihen väliin" tai "korjattu se ja se kirjain toisella". Microsoftin toiminta on taas oma lukunsa. Kovastihan se niitä advisoryja julkaisee, mutten ole tarkemmin perehtynyt siihen, mitä IE:n korjauspaketit kooditasolla muuttavat.
weicco Re: YK:n nettisivuille...
weicco, 15.8.2007 18:42:59		 Pisteet: 0
Esim. Microsoft korjaa MSIE:n aukkoja osana kuukausipäivityksiä julkistamatta korjauksista mitään tietoja.
Tulikohan nyt sammakko.

http://www.microsoft.com/technet/security/advisory...
Join me! Together we can rule the galaxy as father and son.
weicco Re: YK:n nettisivuille...
weicco, 13.8.2007 19:59:22		 Pisteet: +1
Tämän sivun mukaan kyseessä oli SQL injection - hyökkäys.

http://hackademix.net/2007/08/12/united-nations-vs...

Sivuilla kerrotaan UN:n käyttävän ikivanhaa ASP + ADODB setuppia. Jostain syystä koodaaja(t) eivät ole halunneet käyttää SQL parametrisointia (mikähän tuohon olisi parempi sana), vaan ovat mitä ilmeisimmin generoineet SQL:n lennosta käyttäjän syötteen mukaan. Tällainen altistaa järjestelmän kuin järjestelmän hyökkäykselle (paitsi ainakaan ASP.NET ei olisi default-asetuksilla päästänyt SQL käskyjä läpi serverille).

Erittäin tyhmänä esimerkkinä, jos käskystä tulisi generoinnissa tällainen:

SELECT 1 FROM Users WHERE name = 'käyttäjä' AND pwd = 'salasana'

Voisi hyökkääjä ujuttaa mukaan esimerkiksi lauseen OR 1 = 1 (jolloin ehto täyttyisi) ja hän olisi iloisesti sisällä järjestelmässä. Parametrisoinnilla lauseesta taas tulisi jotakuinkin tällainen:

SELECT 1 FROM Users WHERE name = 'käyttäjä' AND pwd = 'salasana OR 1 = 1'

Sivun koodajalle/koodaajille voisi näyttääkin tätä artikkelia: http://en.wikipedia.org/wiki/SQL_injection
Join me! Together we can rule the galaxy as father and son.
kenu Re: YK:n nettisivuille...
kenu, 15.8.2007 02:06:44		 Pisteet: 0
Tämän sivun mukaan kyseessä oli SQL injection - hyökkäys. http://hackademix.net/2007/08/12/united-nations-vs...
Samasta aukosta raportoi myös tämä uutinen:
http://mikropc.net/uutiset/index.jsp?categoryId=at...