Orsolya
7 °C
15 °C

Néha úgy érzed, mintha két valóság létezne?

Több infó

Támogasd a független újságírást, támogasd az Indexet!

Nincs másik olyan, nagy elérésű online közéleti médiatermék, mint az Index, amely független, kiegyensúlyozott hírszolgáltatásra és a valóság minél sokoldalúbb bemutatására törekszik. Ha azt szeretnéd, hogy még sokáig veled legyünk, akkor támogass minket!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?

Hogyan nézzünk ingyen pornót?

2002.05.30. 08:00
Egy számítógépbiztonsági szakértő alig egy héttel az első magyar online szexmozi megnyitása után olyan módszerre bukkant, amellyel a már kifizetett filmekhez hozzá lehet jutni, jogos tulajdonosaikat megelőzve. A mozi üzemeltetője szerint a betörés több időbe és fáradságba kerül, mint az 500 forintos filmek ára.
A mobiltelefonos fizetés úgy zajlik, hogy SMS-t kell küldeni egy emeltdíjas számra a kiválasztott film kódjával, a válaszüzenetben pedig megérkezik az ftp-belépéshez szükséges jelszó. A felhasználói név itt a saját telefonszámból képződik, azaz a saját mobiltelefon száma, megtoldva a film háromjegyű kódjával. Tudható, hogy ez egy 14 elemű, csak numerikus karakterekből álló sorozat. Miután ez a szolgáltatás Westel mobilokról vehető igénybe, a számsorozat első négy tagja (0630) eleve adott, a támadás során a számgenerátornak így csak 10 elemet kell megtalálnia.

Kitalálható a kód

A film letöltése ftp-kapcsolaton kereszül történik, ami a szerveroldalon semmilyen más futó szolgáltatatást nem igényelne, de a szolgáltatást nyújtó szerveren az Indexnek névtelenül nyilatkozó szakértő egy működő POP3-szolgáltatást is talált. A film letöltésekor az ftp-szerverhez való hozzáférés a fent leírt szerkezetű azonosítóval és a kapott kóddal történik. A felhasználói nevek meghatározására jól ismert eljárás a POP3-támadás, mikor is próbálgatással igyekeznek működő felhasználóneveket találni. A két szolgáltatás miatt tehát két irányból lehet támadni, egyrészt az ismert szerkezetű azonosítóval közvetlenül az ftp-szerverre lehet kapcsolódni (meg kell találni összetartozó userneveket és passwordöket), illetve az említett POP3-támadással létező felhasználói neveket kereshetünk a szerveren.

A támadás pontosabb leírását nem tesszük közzé, mivel a hibát még nem javították, így kiaknázható. A jelszavas beléptetéseknél egyébként általános hiba, hogy könnyen kikövetkeztethető loginneveket adnak, sőt néha - így ebben az esetben is - a szolgáltató maga adja meg a loginnév formáját.

Név OK, kérem a jelszót

Ezek után már csak a létező felhasználónevekhez kell jelszót találni, ennek legegyszerűbb módja egy ún. brute force attack. Ilyenkor egy jelszógenerátort futtatnak le, amely jó esetben akár pár óra alatt prezentálja a megfelelő karakterláncot. Ráadásul gyakran osztott hálózat segítségével támadnak, azaz 4-5 nagyteljesítményű gép próbálgatja a lehetőségeket, jelentősen lerövidítve így a szükséges időt.

Az SMS-ben kifizetett hozzáférés egy hétig használható. A megkezdett, de megszakadt letöltésekkel három napig lehet újra próbálkozni. Ezen időszakok alatt az ismertetett módszerrel könnyen le lehet tölteni a tulajdonosa elől a filmet.

A szolgáltató szerint nincs ok az aggodalomra

Az eljárás ugyan a szolgáltatókat nem károsítja meg, de a felhasználóknak veszteséget és bosszúságot okozhat. Falussy Gábor, a mobilos fizetést biztosító D.C.Lax Bt. vezetője szerint hozzájuk még nem érkezett panasz ilyen típusú visszaélés miatt. Általában a proxy vagy a tűzfal hibás beállításából adódik, ha valaki nem tud hozzáférni a filmjéhez. A szolgáltatással kapcsolatos problémák legnagyobb része az SMS-ek félregépeléséből adódik. Ilyenkor ugyanis a felhasználónak leszámlázzák a 400 Ft+áfát, a filmhez viszont nem jut hozzá.

Falussy azt mondta, hogy minden indokolt esetben új account-ot készítenek az ügyfélnek, igy emiatt senkinek sem marad el a befizetett szolgáltatása. Szerinte egyébként nem érdemes ilyen típusú betörésekkel próbálkozni, hiszen annyi időbe és fáradságba kerülnek, hogy sokkal inkább megéri kifizetni azt az 500 forintot. Hozzátette: mire valaki a sok ezermilliárd variánst kipróbálja egyetlen filmért, az már régen nincs is fenn a szerveren.

Megfelelő biztonsági megoldást jelenthet az, ha a felhasználói nevet és a jelszót is a válaszüzenetben küldik el. A film.ashole.hu oldalon a napokban feltűnt, Pannon feltöltőkártyával igénybe vehető szolgáltatás már ezt nyújtja, és várhatóan egy héten belül a westeles részleg is erre áll majd át.