Czy IKEA jest OK zhackowana – riposta
[ Nie głosowano - Oceń Mnie :) ]
Loading ...
Po weekendowej manipulacji głosami na stronie „CzyIKEAjestOk”, nadszedł czas wyjaśnień. Nie było moim zaskoczeniem, gdy wchodząc na stronę akcji odczytałem komunikat następującej treści.
1. Prawie 3,5 tys. głosów, które zostały wygenerowane przez automat zostały cofnięte
2. Dzięki logom na serwerze udało nam się zidentyfikować numer IP, z którego zostały oddane „seryjnie” głosy
3. Jako ciekawostka – pod tym adresem Tutaj możecie zobaczyć fragment logów serwera www.czyikeajestok.pl
Widać tam powtarzające się linie:
„83.26.193.8 – - [28/Nov/2009:11:26:30 +0000] „GET /home/detal/jestok HTTP/1.1″
To właśnie odwołania do procedury oddawania głosów „Jest mi to obojętne”
4. Dodaliśmy dodatkowe zabezpieczenie do głosowania- serwer zapamiętuje teraz numer IP i nie przyjmuje głosów z IP, które już głosowało.
Mamy nadzieje że taka sytuacja się już nie powtórzy.
Sprawcę mamy ;) Jest nim adres IP 83.26.193.8. Sprawdzając numer za pomocą RIPE.net okazuje się:
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf% Note: This output has been filtered.
% To receive output for a database update, use the „-B” flag.% Information related to ’83.26.0.0 – 83.26.255.255′
inetnum: 83.26.0.0 – 83.26.255.255
netname: NEOSTRADA-ADSL
descr: Neostrada Plus
descr: Lodz
country: PL
remarks: ! – ! – ! – ! – ! – !
remarks: Contact to ABUSE TP S.A. :
remarks: abuse@tpnet.pl
remarks: ! – ! – ! – ! – ! – !
admin-c: TPHT
tech-c: HT2189-RIPE
status: ASSIGNED PA „status:” definitions
mnt-by: TPNET
source: RIPE # Filteredrole: TP S.A. Hostmaster
address: TP S.A.
address: ul. Nowogrodzka 47A
address: 00-695 Warszawa
address: Poland
phone: +48 22 6225182
fax-no: +48 22 6225182
remarks:
remarks: =====================================================
remarks: Abuse and spam notification -> cert@telekomunikacja.pl
remarks: DNS problems -> dns@telekomunikacja.pl
remarks: Routing problems -> registry@tpnet.pl
remarks: =====================================================
remarks:
admin-c: TK569-RIPE
tech-c: TK569-RIPE
tech-c: JS1838-RIPE
nic-hdl: TPHT
remarks:
remarks: =====================================================
remarks: In case of abuse (intrusion attempts, hacking,
remarks: spamming or other unaccepted behavior) from
remarks: TP S.A. address space, please contact only to:
remarks:
remarks: TP CERT
remarks: cert@telekomunikacja.pl
remarks: http://www.tp.pl/prt/en/tpcert/
remarks: =====================================================
remarks:
mnt-by: TPNET
abuse-mailbox: abuse@telekomunikacja.pl
source: RIPE # Filteredperson: Hostmaster TPSA-CST
address: Telekomunikacja Polska S.A.
address: Data Transmission Systems Centre
address: ISP
address: POLAND
remarks: ! – ! – ! – ! – ! – !
remarks: CALL – CENTER
remarks: phone: (+48) 800 120811
remarks: ! – ! – ! – ! – ! – !
phone: +48 800 120810
fax-no: +48 22 6225182
remarks: ! – ! – ! – ! – ! – ! – ! – ! – ! – ! – !
remarks: Please send spam and abuse notification only to:
remarks: abuse@tpnet.pl
remarks: ! – ! – ! – ! – ! – ! – ! – ! – ! – ! – !
nic-hdl: HT2189-RIPE
mnt-by: TPNET
source: RIPE # Filtered% Information related to ’83.0.0.0/11AS5617′
route: 83.0.0.0/11
descr: TPNET
descr: for abuse: abuse@tpnet.pl
origin: AS5617
mnt-by: AS5617-MNT
source: RIPE # Filtered% Information related to ’83.24.0.0/13AS5617′
route: 83.24.0.0/13
descr: TPNET
descr: for abuse: abuse@tpnet.pl
origin: AS5617
mnt-by: AS5617-MNT
source: RIPE # Filtered
Pogrubiłem stosowne. Adres IP przypisany jest do Neostrady i wskazuje, że połączenie „wypłynęło” z Łodzi. Z uwagi na fakt, że zapoznając się z logami, widać godziny połączeń:
[28/Nov/2009:00:35:18 +0000] do [28/Nov/2009:03:51:53 +0000]
[28/Nov/2009:09:25:28 +0000] do [28/Nov/2009:11:55:20 +0000]
[28/Nov/2009:13:05:35 +0000] do [28/Nov/2009:15:46:08 +0000]
widać trzy podejścia. Zastanawiający jest też czas oddawania głosów:
83.26.193.8 – - [28/Nov/2009:11:52:15 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:52:21 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2805
83.26.193.8 – - [28/Nov/2009:11:52:28 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2806
83.26.193.8 – - [28/Nov/2009:11:52:33 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2805
83.26.193.8 – - [28/Nov/2009:11:52:39 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:52:45 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2803
83.26.193.8 – - [28/Nov/2009:11:52:51 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2806
83.26.193.8 – - [28/Nov/2009:11:52:58 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2806
83.26.193.8 – - [28/Nov/2009:11:53:04 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2806
83.26.193.8 – - [28/Nov/2009:11:53:10 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2800
83.26.193.8 – - [28/Nov/2009:11:53:17 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2805
83.26.193.8 – - [28/Nov/2009:11:53:23 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2807
83.26.193.8 – - [28/Nov/2009:11:53:29 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2805
83.26.193.8 – - [28/Nov/2009:11:53:35 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2806
83.26.193.8 – - [28/Nov/2009:11:53:42 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:53:48 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:53:55 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2801
83.26.193.8 – - [28/Nov/2009:11:54:01 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:54:07 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2805
83.26.193.8 – - [28/Nov/2009:11:54:13 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2803
83.26.193.8 – - [28/Nov/2009:11:54:19 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2806
83.26.193.8 – - [28/Nov/2009:11:54:26 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2807
83.26.193.8 – - [28/Nov/2009:11:54:32 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:54:38 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:54:45 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:54:51 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2807
83.26.193.8 – - [28/Nov/2009:11:54:58 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2805
83.26.193.8 – - [28/Nov/2009:11:55:05 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2804
83.26.193.8 – - [28/Nov/2009:11:55:12 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2811
83.26.193.8 – - [28/Nov/2009:11:55:18 +0000] „GET /home/detal/jestok HTTP/1.1″ 200 2807
Jak widać głos został oddany średnio co 6-9 sekund – czyli sprawdza się to, co pisałem wcześniej. Przy wyłączonych ciasteczkach oddanie głosu metodą kliknij – cofnij, zajmuje dokładnie tyle samo. Pozostaje mi odnieść się do jeszcze jednego – stwierdzenia, które opublikowano:
Dodaliśmy dodatkowe zabezpieczenie do głosowania- serwer zapamiętuje teraz numer IP i nie przyjmuje głosów z IP, które już głosowało
Z przykrością stwierdzam, że to nie jest zabezpieczenie dla dynamicznych adresów IP tj. Neostrada. Nie chce nagrywać kolejnej demonstracji video, ale przy wyłączonych ciasteczkach i dynamicznym IP (które w Neostradzie można uzyskać za pomocą resetu modemu) wydłuża jedynie czas dokonania sabotażu a nie wyklucza go całkowicie. Podobnie wygląda sprawa w/w zabezpieczenia, jeśli delikwent ma włączone PROXY.
UPDATE:
Warto obejrzeć kto stoi za akcją Czy Ikea Jest OK – Jednak akcja wygłaskana została przez agencję Think Kong. Nagranie znalezione na blogu Macieja Budzich.
Loading ...Głosowanie wielokrotnego wyboru
Może to Cię zainteresuje?
- 10 za 10, czyli Solidarność vs. IKEA – część kolejna[Translate] Parę dni temu NSZZ Solidarność – główny „sterujący” manifestacją „Czy IKEA jest OK”, wystosował do centrali IKEA w Polsce list z 10 pytaniami. Dzisiaj IKEA odpowiedziała – za sprawą rzecznika prasowego pani Aleksandry Sikory. Czas na tabelaryczne pokazanie pytania...
- Czy IKEA jest ok zhackowana?[Translate] Chyba już moją tradycją stało się śledzenie akcji Czy Ikea Jest OK. Wchodząc na stronę protestu 2 godziny temu (19:20), wynik głosowania jest na niekorzyść związkowców, co daje opcji „jest mi to obojętne” ogromną przewagę. Patrząc dalej odczytuję komunikat,...
- A IKEA jest OK[Translate] Czy IKEA jest OK, to strona internetowa mająca na celu zwrócenie uwagi na problemy pracowników ochrony pracujących w IKEA. Warunki zatrudnienia, brak pakietu socjalnego, duża ilość roboczogodzin, to powody pikiety, która jak podaje Rzeczpospolita, odbyła się 18 listopada (dzisiaj)...
Oczywiście ma Pan rację, że takie zabezpieczenie nie jest „ostateczne”:( Niestety nie mamy już innych możliwości. Jest jeszcze – chyba najbardziej drastyczna – możliwość ograniczenia głosowania np. tylko dla osób, które podadzą (i potwierdzą kliknięciem) swój email. Nie chcieliśmy jednak tego robić, żeby nie stawiać żadnych barier głosującym. Cóż – „nabicie” głosów traktujemy trochę tak, jak wymazanie drzwi sprayem. Nie uchronimy się przed tym…niestety…
Niestety uroda dynamicznego IP oraz PROXY jest obciążeniem, które ciężko zastopować. Choć z PROXY jest mała opcja na odrzucanie połączeń z automatu, to z dynamicznym adresem jest „mur berliński”. Co prawda, można banować spryciarza do bólu, ale to walka z wiatrakiem, niż skuteczna metoda.
Jest jeszcze jeden sposób, który mogę polecić. Projekt nazywa się „RE-Captcha„, który de facto nie wyeliminuje czynnika ludzkiego, ale w 90% wyhamuje mechanizm oddawania głosu przez spambota, czy oprogramowanie nabijające kliknięcia. Plusem takiego zastosowania jest wygląd (estetyczne wykonanie) i procentowa skuteczność hamowania zapędów spambotów (w tym przypadku „spamclickerów) – minusem za to, dodatkowy czas, który należy poświęcić na wpisanie słów potwierdzających – generowanych losowo. Spróbujcie wykorzystać. Powodzenia i pozdrowienia.
Cześć,
jasne, że zapisywanie ip nie stanowi ochrony przed dynamicznym ip, ale jeśli zmiana ip to 30sek to 1000 wpisów == pi*oko 10h – powiem szczerze, mogę zaakceptować 1000 lewych wpisów w obliczu takiego poświęcenia „hakiera” – należy mu się xD
captcha było tam swego czasu wszyte, jednak doszliśmy do wniosku, że nie będziemy utrudniać ludziom życia w imię wątpliwego sensu walki z domorosłymi hacker’ami ;-)
co do zabezpieczeń, to cóż…
można inteligentniej pograć z ciastkami -> można złożyć bot’a obsługującego ciastka
można filtrować proxy -> można umieścić na dowolnej stronie kawałek js’a ew. baner z zaszytym as’em wysyłającym zapytania z rzeczywistego ip odwiedzającego
można w końcu badać heurystykę zapytań i na tej podstawie filtrować -> można dopasować bot’a do heurystyki
itd. itp… można się bawić do śmierci, tylko w sumie po co? wiadomo – jest zamek, jest i wytrych – zawsze :)
pozdrawiam
Sławek
Reasumując, ja tylko ubaw mam z gościa, który klikał w tą i z powrotem po to, by zmienić procentowe głosy ankiety. Osobiście uważam to, za jakiś odłam schizofrenii, albo internetowy autyzm. So… take my mouse and click me twice ;)
Tylko Panowie odpowiedzcie, jaki był cel tego działania, bo ja chociaż staram się go dostrzec, to nie widzę żadnego sensu. Jedyne, co mi przychodzi do głowy, to „zabawa” z nudów nic więcej.
do fin i mariobros
gość który to zrobił napewno nie siedział i nie klikał i nie była to zabawa z nudów , po prostu zapuścił bota który zrobil to automatycznie
No oka, ale powiedz mi po, co? Sonda nie jest „wymiernym” źródłem badania opinii (bynajmniej do czasu możliwości zablokowania możliwości nieskończonej ilości oddawania głosów) – co za tym idzie, nie jest to żadne referendum. Jeśli przez parę godzin proporcja głosów drastycznie wzrasta na przewagę „jest mi to obojętne”, to od razu widać, że coś jest nie tak, prawda? Poza tym dalej uważam, że pytania skonstruowane są tak, by zadecydować o wyniku na korzyść akcji. Mniejsza o sposób, czym to było zrobione. Pytanie po co?