Védtelen a Win2000 a most felfedezett bugnak köszönhetően

Szalay Dániel, 2001. március 31. 16:19
Óriási számítógépes hibára hívta fel figyelmemet a minap egy hacker, amikor behatolt a Windows 2000 operációs rendszeren futó, a Verseny 2000 számítógépes verseny alkalmából felállított Internet Information Service (IIS) webkiszolgálónkba. A most felfedezett bug segítségével valamennyi Windows 2000-en lévő fájlok tartalmába bele lehet tekinteni, sőt a fájlok törlésére, módosítására is lehetőség nyílik. Ehhez a számítógépes csaló oldalán csak egy egyszerű webböngésző szükséges, ahová egy megfelelő URL-t kell beírni.
Az elkövető szerencsére nem törölt fájlokat a gépünkön, sőt még figyelmeztető levelet is küldött, amelyben pontosan leír mindent az elkövetés módjáról. A hacker az elektronikus postában többször is azt rótta fel hibánknak, hogy a redmondi világóriás cég operációs rendszerét választottuk webszervernek. A nem kevés helyesírási hibát tartalmazó levélben a hacker azt írja: "Szóval nem nyúltam semmihez, nyugi... Lehet nyugodtan anyázni, nemvagyok aza megsért dös típus, de nem szeretném, ha valamelyik script kiddie találná meg ezt a bugot... Jaés védekezni nemtudom, hogy lehet-e, mivel eléggé új bug, úgy alig 2 hónapos... És mindig tölcsék le a patcheket! (hamár winfost használnak) Jaés hogy a másik (novell) server-t nemtudtam megnézni, mert én csak az iis-hez értek...".

Sőt, a hacker jóindulatára utal az is, hogy az e-mail végén még néhány linket is javasol, ahol tudakozódni lehet a betörésekről. "ui.: egypár link: newoder.box.sk; p.ulh.as/xploits; eurohack.zona.hu; securityfocus.com"

Ezúton is üzenjük a hackernek, hogy köszönjük a figyelmeztetést. Az IIS-t futtató gép egyébként kimondottan a Verseny 2000 középiskolai portálkészítő verseny miatt lett összeállítva, a szoftvert a Microsoft bocsátotta az iskola rendelkezésére. Hosszasan vacilláltunk, hogy ennek ellenére egy Debian Linuxszal induljunk a versenyen (ez megengedett lett volna), de nem tartottuk volna szerencsésnek, ha egy konkurens termékkel indulunk. Ezért választottuk végül mégis a Win2000-et, amit most megtörtek.

Az ügy pikantériája, hogy a Verseny 2000 szervezőbizottsága "az azonnali kérdések órájában" azt mondta: nem fordulhat elő, hogy egy csapat gépére bárki is be tudjon törni, mivel a Windows biztonságos.

Ezek után nem csodálkozunk azon, hogy bár összeállt a verseny következő fordulójába tovább jutók névsora, a szervezők többszöri kérésünkre sem voltak hajlandóak a csapatunkat tájékoztatni a többi csapat honlapjának webcíméről. Bár a most felfedezett hiba segítségével mindezt akár magunk is megtudhatjuk: ugyanis a Verseny2000 szervere is IIS-en fut, így bármikor meg lehet nézni a meghajtók tartalmát.