További Biztonság cikkek
Kitalálható a kód
A film letöltése ftp-kapcsolaton kereszül történik, ami a szerveroldalon semmilyen más futó szolgáltatatást nem igényelne, de a szolgáltatást nyújtó szerveren az Indexnek névtelenül nyilatkozó szakértő egy működő POP3-szolgáltatást is talált. A film letöltésekor az ftp-szerverhez való hozzáférés a fent leírt szerkezetű azonosítóval és a kapott kóddal történik. A felhasználói nevek meghatározására jól ismert eljárás a POP3-támadás, mikor is próbálgatással igyekeznek működő felhasználóneveket találni. A két szolgáltatás miatt tehát két irányból lehet támadni, egyrészt az ismert szerkezetű azonosítóval közvetlenül az ftp-szerverre lehet kapcsolódni (meg kell találni összetartozó userneveket és passwordöket), illetve az említett POP3-támadással létező felhasználói neveket kereshetünk a szerveren.
A támadás pontosabb leírását nem tesszük közzé, mivel a hibát még nem javították, így kiaknázható. A jelszavas beléptetéseknél egyébként általános hiba, hogy könnyen kikövetkeztethető loginneveket adnak, sőt néha - így ebben az esetben is - a szolgáltató maga adja meg a loginnév formáját.
Név OK, kérem a jelszót
Ezek után már csak a létező felhasználónevekhez kell jelszót találni, ennek legegyszerűbb módja egy ún. brute force attack. Ilyenkor egy jelszógenerátort futtatnak le, amely jó esetben akár pár óra alatt prezentálja a megfelelő karakterláncot. Ráadásul gyakran osztott hálózat segítségével támadnak, azaz 4-5 nagyteljesítményű gép próbálgatja a lehetőségeket, jelentősen lerövidítve így a szükséges időt.
Az SMS-ben kifizetett hozzáférés egy hétig használható. A megkezdett, de megszakadt letöltésekkel három napig lehet újra próbálkozni. Ezen időszakok alatt az ismertetett módszerrel könnyen le lehet tölteni a tulajdonosa elől a filmet.
A szolgáltató szerint nincs ok az aggodalomra
Az eljárás ugyan a szolgáltatókat nem károsítja meg, de a felhasználóknak veszteséget és bosszúságot okozhat. Falussy Gábor, a mobilos fizetést biztosító D.C.Lax Bt. vezetője szerint hozzájuk még nem érkezett panasz ilyen típusú visszaélés miatt. Általában a proxy vagy a tűzfal hibás beállításából adódik, ha valaki nem tud hozzáférni a filmjéhez. A szolgáltatással kapcsolatos problémák legnagyobb része az SMS-ek félregépeléséből adódik. Ilyenkor ugyanis a felhasználónak leszámlázzák a 400 Ft+áfát, a filmhez viszont nem jut hozzá.
Falussy azt mondta, hogy minden indokolt esetben új account-ot készítenek az ügyfélnek, igy emiatt senkinek sem marad el a befizetett szolgáltatása. Szerinte egyébként nem érdemes ilyen típusú betörésekkel próbálkozni, hiszen annyi időbe és fáradságba kerülnek, hogy sokkal inkább megéri kifizetni azt az 500 forintot. Hozzátette: mire valaki a sok ezermilliárd variánst kipróbálja egyetlen filmért, az már régen nincs is fenn a szerveren.
Megfelelő biztonsági megoldást jelenthet az, ha a felhasználói nevet és a jelszót is a válaszüzenetben küldik el. A film.ashole.hu oldalon a napokban feltűnt, Pannon feltöltőkártyával igénybe vehető szolgáltatás már ezt nyújtja, és várhatóan egy héten belül a westeles részleg is erre áll majd át.