21:01
11/9/2014

Pewnie kojarzycie sławnego Bobbiego DROP TABLE z komiksu XKCD dotyczącego SQL injections. Być może także widzieliście dowcipny żart rodaków ze złośliwą tablicą rejestracyjną próbującą “zdropować” bazę danych fotoradarów. Dziś do kolekcji dołącza firma Dariusza Jakubowskiego, która nazywa się… Dariusz Jakubowski x’; DROP TABLE users; SELECT ‘1

CEIDG

CEIDG

O firmie tej poinformował nas jeden z czytelników. Kiedy wrzuciliśmy do niej linka na naszym Facebooku, okazało się, że Dariusz również jest naszym czytelnikiem :-)

Podsumujemy więc krótko powody takiej nazwy (bo temat zaczął w zastraszającym tempie krążyć po sieci — np. VaGla rozpatruje go m.in. od “reuse” i odpowiedzialności prawnej pod kątem ew. szkód spowodowanych przetwarzaniem takiej nazwy w systemach informatycznych Państwa).

  • Dariusz ustawił taką nazwę firmy dziś, zaledwie kilka godzin temu. Co można zobaczyć w historii wpisu na CEIDG.

    CEIDG

    Nota bene, także w historii wpisu zauważycie …zmianę NIP-u. Wynika ona z tego, że za pierwszym razem urząd nie zweryfikował NIP-u i Dariusz przez przypadek zarejestrował firmę pod cudzym NIP-em :)

  • Z racji tak krótkiego czasu ciężko wnioskować, jak na taką nazwę firmy będą reagowali kontrahenci (jej dyktowanie przez telefon to pewnie będzie zmora). Dariusz informuje, że już pojawiają się pierwsze ciekawe reakcje:

    Do tej pory tylko jedną współpracę nawiązałem i firma twierdziła że to żart i prosiła o pisemny wniosek z pieczątką

  • Nazwa to po części “zemsta”. Jak wyjaśnia właściciel — liczy na to, że firmy crawlujące publiczną bazę Centralnej Ewidencji i Informacji o Działalnościach Gospodarczych w celu nękania e-mailami i telefonami w końcu dostaną za swoje:

    po pierwszym zarejestrowaniu dostawałem dużo spamu od firm typu CDEIG, CEDIG, CEIGD itp. W końcu kosa trafi na kamień :D

Zastnawiamy się, czy któryś z wystawiających Dariuszowi fakturę kontrahentów doliczy mu % za dodatkowe godziny spędzone na przywracaniu bazy danych… ;-) I czekamy na kolejne przypadki nazw firm będących wektorami ataków. Podpowiadamy, że nazwa firmy w stylu =2-2 na pewno całkiem nieźle namiesza u tych, którzy faktury wystawiają w Excelu…

PS. Nasi czytelnicy podpowiadają Dariuszowi, żeby iść na całość i zamiast e-maila typu “biuro@” zawsze pisać z “noreply@”…

PPS. Aha, Dariusz wspomniał, że w Gdańsku jest od niedawna i szuka kompanów do piwa. Adres znacie…

Aktualizacja 20:36
Ale nie musicie od razu wszyscy tam wchodzić…


Przeczytaj także:

99 komentarzy

Dodaj komentarz
  1. Dobre 👍

  2. Dariusz jestes moim mistrzem! :D

  3. Trafić na główną Niebezpiecznika – bezcenne! :D

    • A w sumie ten wektor był już opisywany na Niebezpieczniku w wariancie, kiedy to gracz na konsoli nadał sobie nick w postaci komendy w rodzaju „ShutDown” i czekał, kto będzie miał włączone polecenia głosowe…

    • Xbox shut off – na youtube są klipy. Ewentualnie: “xbox one trolling” w google.

    • Ewentualnie: https://www.youtube.com/watch?v=oCB1ac4jIrE

  4. Jeżeli uda mu się wywalić bazy tych zasrańców powinniśmy zrobić ściepkę na rok zusu dla tego człowieka.

  5. Ja robię tak. Jak mam nowego klienta, podpisuję umowę itd. to zakładam im alias. Np. orange@… ceidg@… i od razu wiem skąd to wycieka. A i odfiltrować łatwiej.

    • A po co się męczyć zakładaniem aliasów, nie lepiej catch-all?

    • @SuperTux: nie, mniej spamu na aliasach niż catch-all. W sensie mniejsze obciążenie serwera.

  6. no i jak to zycie pokazuje, niestety ani kolo od tablicy rejestracyjnej ani ten nie dali rady, bo systemy sa odporne. zreszta dlaczego mialyby nie byc.

    • A skąd wiesz że on nie dał? Dopiero dzisiaj zmienił nazwę…

    • Jeszcze na studiach napisalem “na zlecenie” crawler alledrogo, ktory pobieral info z /company_icon_get_data_ajax.php?user=xxxxxx (sprawdzilem dalej by dzialal:) i zapisywal w tabeli… “users” ;)

  7. Mistrz zła :D

  8. @skyPAPA: możesz robić aliasy z plusem: user+orange@domena.tld. Tak jest o wiele łatwiej, szybciej ale czasami sanityzacja(lol) tego nie przepuszcza

    • A to nie jest czasem tak że to działa tylko w wypadku GMail?

    • Nie. Por. rfc5233

    • Wszędzie gdzie się rejestruję staram się używać aliasów z plusem, niestety nie zawsze to działa dobrze, ot przykład z ostatnich dni: zarejestrowałem się na stronie luxmedu by założyć sobie konto pacjenta i przy rejestracji było wszystko dobrze, niestety przy logowaniu(mail tam służy za login) walidacja nie dopuszcza adresu e-mail z plusem, lol. Teraz nie mogę założyć nowego konta(blokada na pesel) ani nie mogę się zalogować na obecne ;)

    • “user+orange@domena.tld”
      cwaniaki ktorzy o tym wiedza regexem wycinaja z od + do @ tresc i maja czysty mail, wtedy i tak sie nei dowiesz kto twojegoreal emailagdziesz podal.
      ja polecam poczte na wlasnej domenie lub google appsa + aliasy, mojbank@mojadomena.tld, forumtakie@mojadomena.tld itd
      aliasy ladnir mozan regulkami filtrowac lub zablokowac jesli nawet jest taka potrzeba.

    • zapomnialem dodac, niektore formularze z strony kodu nie pozwalaja natakie plusiki w emailu. jedni bo maja taki banalny regex a inni maja juz swoje powody o ktorych sie domyslacie ;)

    • @Stefano
      Odpisujesz takiemu cwaniakowi który wysłał Ci maila na adres po obcięciu wszystkiego po +, że to pomyłka i że nie podawałeś im swojego adresu :)

  9. Program Dumpingowiec odpory ;) pewnie za prosty na takie manewry :D

  10. Szkoda że on w Gdańsku, nie w Szczecinie to bym mu ze dwa piwa postawił (sam nie piję alkoholu). Za taki numer… Bezcenne. Gorzej jak któryś urząd straci bazę przez to (np. ZUS).

    • Sa backupy… Sa prawda?

    • Każdemu wolno marzyć…

      Robiłem w zusie 6 miechów (odszedłem, z powodów które zaraz powiem). Backupy są… jako rary podzielone na setki dyskietek, czasem dysków ZIP. Powodzenia w przywracaniu szczególnie jak szlag trafi połowę z nich.

    • W ZUSie? Chyba na dyskietkach :D

    • Tak są, mają je na 1.44Mb (wersja BOX po 10 sztuk w opakowaniu)

  11. Zresztą wgl. nie lepiej pójść na całość i dać od razu drop database?

    • A znasz nazwę tej bazy? Raczej nie jest to “users”

    • Nie, ale można wyszukać “domyślne” nazwy baz popularnych crawlerów. Trochę googlania i się znajdzie. A potem “Dariusz Jakubowski x’; DROP DATABASE dbrawlera1;DROP DATABASE dbrawlera2;DROP DATABASE dbrawlera3; SELECT ’1”

      Raczej takie firmy nie piszą własnych narzędzi tylko korzystają z gotowców, więc 3 najpopularniejsze by starczały.

    • nie zadziała… nie da się usunąć bazy “w użyciu” :)

    • Jaka domyślna nazwa? Kto hardkoduje nazwę bazy w takich programach?

      Zresztą, wszystko to podniecanie się niby-śmiesznym i niby-sprytnym niby-hakiem, który i tak nigdzie nie zadziała. Więcej sensu miałoby wrzucenie jakiegoś XSSa albo HTMLa, bo SQLI to temat oklepany już milion razy i taki atak już z samego założenia nie ma prawa działać w niektórych technologiach. Za to encodowanie wyświetlanej treści to dla niektórych wciąż całkowita nowość.

    • Rob006, nie hardkoduje, ale to tak jak z hasłami do ruterów – większość i tak zostawi domyślne bo im się nie chce zmienić.

  12. Nie, alias dropniesz i szit nie wpada.

  13. Życzę mu szybkiego upadku i plajty. Żenująca próba walki z ‘systemem’, która odbije się na jego klientach. Powinni zamykać takich ludzi.

    • Żenujący komentarz.

    • Pierwszy trafiony? ;)

    • moi klienci są bezpieczni, są w końcu moimi klientami, prawda? Proszę się też nie martwić o plajtę – firma radzi sobie dobrze. O areszt także proszę się nie martwić, na tej stronie znajdziemy wiele przydatnych wskazówek jak się z niego wydostać :)

  14. PS. Nasi czytelnicy podpowiadają Dariuszowi, żeby iść na całość i zamiast e-maila typu “biuro@” zawsze pisać z “noreply@”…
    geniusz tkwi w prostocie!
    Dariusz, wygrales wszystko.

    • Dokuadnie tak :D, ten PS>all

  15. Drop table nie zadziala w wiekszosci przypadkow ze wzgledu na standardowo nadawane uprawnienia dla uzytkownikow mysql.

    • Zadziała. Bo to nie operacja na tabeli “mysql”.”users”, tylko “users” z aktualnej bazy danych.
      Około 99.9% aplikacji w Internecie na SQL ma jednego usera z wszystkimi prawami do DB (GRANT ALL PRIVILEGES ON …).

      Miłej zabawy ;)

  16. testy temu serwisowi by sie z pewnoscia przydaly :) majac dostep do konta urzednika i zmieniajac jeden parametr w htmlu dotyczacy paginacji moglem wylistowac wszystkie firmy z bazy jednym zapytaniem :D

    • Ciekawe czy wlasnie tak dane trafiaja w rece spamerow, bo chyba nie przepisuja captchy, a jada po wszystkich rekordach regularnie.

    • Captcha Breaker czy tam Xrumer myślę że bardzo skutecznie rozpoznaje ich captche. Ale GUS sprzedaje te dane od rekordu bodaj 30gr :) jedna firma kupuje i odsprzedaje dalej ;p

    • Stronnicowania

    • Captcha jest obecnie chyba tylko w celu utrudniania życia użytkownikom. Dostępne są usługi rozpoznawania zarówno automatyczne, jak i oparte o ludzi. Cena zaczyna się od ok. 0,001$ za poprawne rozpoznanie.

    • Iskierka… nie denerwój mńe.

  17. Było, i to dawno:
    http://blog.syse.no/2009/04/23/syse-data-og-bronnoysundregistrene/

  18. Pomyśleć że ja zastanawiałem się swego czasu nad nazwą firmy :). Genialne w swojej prostocie i jaka reklama za free :).

  19. Dariuszu, jako, że na Twój blok mam widok z okna, na piwo chętnie zaproszę :).

    • Łatwo mnie znaleźć na facebooku :)

  20. Wszyscy się tu zachwycaja SQL-em, ale największą porażką jak dla mnie jest to:

    “urząd nie zweryfikował NIP-u i Dariusz przez przypadek zarejestrował firmę pod cudzym NIP-em”.

    • No,bo przecież to urząd

  21. W sumie pomyślałem o czymś lepszym: Select * from ‘users’ – przy wielkich bazach taka nazwa zawiesi listowanie danych na długie godziny z potencjałem rekursji (bo w kolejnych “selectach” znowu natrafi na select i tak w kółko). Efekt? Albo zapchany ram i ciągłe restarty bo komputer nagle przestał działać, albo zapchany dysk (przy listowaniu do pliku).

  22. heh dobry pomysł, swoją drogą m.in. zawsze wstawiam u siebie prefix lub sufix np. ‘tbl_’ i …

  23. Czesc. spotkalem sie z firmami które nie przeżywają “+” w adresie email do kontaktu, szczególnie systemy tworzone przez firmę assecco (a niby taka duża i wspaniała firma)
    sam nie mogłem dodać aliasu z plusem na stronie t-mobile albo energi
    pozdrowienia dla programistów z assecco

    • najlepsze jest to, że w 90% przypadków wystarczy wyłączyć js-a i wtedy adres przejdzie ;)

  24. Tylko jak ta zmiana ma do reguł urzędowych dot. nazwy firm? Firma zajmuje się “upuszczaniem użytkowników”?

    • upuszczaniem stołów…. ;-)

    • Nazwa firmy może zawierać “dowolne inne wyrażenia”, czy jakoś tak. W razie W ja bym się na ten zapis powoływał.

  25. Dopisałbym do tej listy operatora P4 aka “Play”.
    Najlepsze jest to, że jak telefonicznie zgłosiłem problem i przedyktowałem e-mail na jaki chciałem otrzymywać maile w danych konta zamiast ‘mojanazwa+play@gmail.com’ zobaczyłem później ‘mojanazwaplusplay@gmail.com’
    Delikatnie mówiąc, zwątpiłem w inteligencję osób, które to zrobiły.

    • Trzeba było podczas dyktowania powiedzieć ‘mojanazwa’, proszę właczyc NUMLOCK, proszę wcisnać i przytrzymać ALT i wpisać na numpadzie 43, ‘play@gmail.com’ ;)

    • To by miał wtedy mail w systemie: mojanazwaproszewlaczycnumlockproszewcisnaciprzytrzymacaltiwpisacnanumpadzie43play@gmail.com
      Albo raczej by nie miał, bo pani po drugiej stronie słuchawki nie zmieściłby się tekst w formularzu ;)

    • W jednej książce Pratchetta ochrzczono księżniczkę jako “Esmeralda Margaret Uwaga Pisownia z Lancre” :)

    • Gmail w swej naturze usuwa wszystkie znaki inne niz azAZ09, wlasnie zeby nie mozna bylo sie podszyc pod kogos @
      Czyli moze byc :
      mojanazwa+play@gmail.com
      moja+nazwa+play@gmail.com
      mo.ja+naz.wa+play@gmail.com

      które zawsze trafią na :
      mojanazwaplay@gmail.com

    • @mnmnc jak się bawić to się bawić… proszę wpisywać następujące liczby podczas trzymania ALT-a: 109 111 106 97 110 97 …

    • @mushira
      nieprawda.
      mojanazwa+play@gmail.com trafia na mojanazwa@gmail.

      a co w przypadku dwóch plusdów nie sprawdzałem, ale pewnie też obcina po pierwszym plusie.

    • Można wiedzieć o co chodzi z tymi + w adresach email? :)

    • @GwynBleidD
      JesteśHaxoremWłaśniePokazałeśJakUkryćTekstNaNiebezpiecznikuChodziOToŻeSięNieMieściWRamceWMomencieGdyJestUstawionyJakoMailZawijanieWierszyToZbytSkomplikowanaFunkcjaDlaPostBOXa@niebezpiecznik.pl :D

  26. Lubię to! +1 dla Dariusza!

    PS. Jeśli pracujesz w firmie która straciła tabelę a nie posiada backup’u, to zachęcam do kontaktu ze mną :P

    • To w końcu lubisz to czy dajesz +1? Bo albo jesteś z Google albo z pejsbukiem.

  27. Setem ciekaw, jak system GUSu się zachowa w zapytaniu o ten rekord, a dokładniej systemy które pobierają z GUSu dane. Jeżeli ślepo wierzą w poprawność danych to się mogą przejechać ;-)

    P.S.
    Niestety w GUSie są jeszcze stare dany przy zapytaniu o NIP 6692508768

    http://stat.gov.pl/regon/

  28. Tak, nazwa firmy fajna tylko jak ją podawać np. przez telefon lub jak się nie ma wizytówki i trzeba na stacji benzynowej poprosić o fakturę – dramat

  29. rozwiązanie problemu =2-2 to ‘=2-2.

    • Tja, tylko mało która pani Ania z księgowości o tym wie.

  30. Niestety nie zadziala w wiekszosci przypadkow gdyz “drivery” do laczenia z baza rzadko kiedy obsluguja wyslanie wielu zapytan na raz. Dla przykladu w PHP zamiast mysql_query trzeba uzyc mysql_multi_query (przyklad dla przestarzalego drivera mysql ale w innych jest to samo), w pythonowym libie dla mysqla trzeba ustawic parametr multi na True przy wywolywaniu zapytania.

  31. A wystarczy mieć powiązanie PK/FK na tabeli.. zawsze mnie zastanawiało jak się komuś udaje zrobić dropa na bazie z constrainami typu PK/FK…

  32. Powiedziałem “Plus, czyli taki krzyżyk”. Mam wrażenie że to bardziej zrozumiałe wytłumaczenie. Obstawiam, że zamiana “+” na “plus” nastąpiła na linii BOK->IT
    A ktoś, kto to ostatecznie w jakieś pole wpisywał pewnie pomyślał: “Trzeba było sobie mojnazwaorangetmobileplusplay@gmail.com zrobić, cwaniaku.”

  33. @Niebezpiecznik, skąd spamerzy mają dane? Nasze kochane Państwo po prostu sprzedaje te dane, co reguluje USTAWA z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej.

    Art. 39. ust.2
    “Dane CEIDG są udostępniane odpłatnie, w sposób inny niż określony w art. 38 ust. 2 [na stronie internetowej CEIDG – przyp. rafal], za pomocą urządzeń teletransmisji innym podmiotom do ponownego wykorzystywania w celach komercyjnych i niekomercyjnych.”

    Z pozostałych artykułów wynika, że sprzedawane są wszystkie dane, które są publicznie dostępne na stronie, czyli e-mail również. Polecam cały Art. 39, bo są tam wymienione różne restrykcje, np. nie można przekazywać tych danych innym podmiotom. Jeśli ktoś podał w CEiDG adres e-mail, to może spróbować dowiedzieć skąd spamerzy mają bazę, ewentualnie zadać pytanie do Ministerstwa Gospodarki, czy ta firma wykorzystuje dane zgodnie z Ustawą, czy ktoś nie sprzedał tej bazy nielegalnie. Jest też Ustawa o ochronie baz danych i wydaje mi się, że te spamerskie bazy mogą być nielegalne, mimo że dane są ogólnodostępne. Może dałoby się znaleźć jakąś drogę prawną, do ukrócenia tego spamu i oszustw, ale musiałby znaleźć się ktoś odpowiednio zdeterminowany. Na naszą korzyść działa też to, że Państwo ma dochód ze sprzedaży bazy, więc każda kopia zakupiona od innego podmiotu jest utratą potencjalnego dochodu, więc Państwo miałoby w tym interes. Wtedy można by było załatwić wszystkich spamerów za pomocą szablonu. A może jestem zbyt optymistyczny?

  34. Tego typu wpisy powinny być na każdej stronie każdego urzędu. Taki darmowy test różnego rodzaju oprogramowania. Może programistyczne firmy IT zaczęły by się na nowo interesować jakością tego co sprzedają, bo ta branża schodzi na psy.

  35. I strona CEIDGu padła.

    Wewnętrzny błąd serwera.
    Nie można połączyć się z bazą danych sesji serwera SQL Server.

    • No to Darek ma kłopoty…

  36. “System CEIDG jest w tej chwili niedostępny ze względu na prowadzone prace techniczne.
    Za utrudnienia w dostępie do systemu przepraszamy.

    Spróbuj ponownie za kilkanaście minut… ”

    Sie ktoś zdenerwował.. ;]

  37. http://i.imgur.com/BLwzCR3.png?1?8838
    Panie Darku czekamy na relacje :)

    • Piszą, że to w związku z aktualizacją, a tak naprawdę przywracają bazę z backupu.

  38. już działą

  39. Mógłby mi ktoś łopatologicznie wyjaśnić, jakie konsekwencje niesie taka nazwa? Niebezpiecznik czytam od niedawna, a w tego typu sprawach jestem raczej lemingiem.

    • Wytłumaczę to najbardziej łopatologicznie jak tylko potrafię – DROP TABLE to po prostu komenda usuwająca tabelę z bazy danych.

      I tak na przykład jeśli dany serwis internetowy przechowuje dane o użytkownikach w tabeli ‘users’, komenda “DROP TABLE users” spowoduje skasowanie tej tabeli wraz z całą jej zawartością.

      Ten “trick” zadziała jednak tylko w przypadku gdy serwis nie filtruje w odpowiedni sposób danych przesyłanych przez użytkowników w formularzach (jeśli np skrypt nie dodaje znaku \ do wszystkich apostrofów i cudzysłowów).

    • Ban na wiki? http://pl.wikipedia.org/wiki/SQL_injection

    • @Ivellios – Dzięki, teraz rozumiem. @Emil – Ten artykuł laikowi niczego nie tłumaczy.

  40. +++ath0 jako nick na IRC’u – daaawno temu działało na modemowców.

    • Miło powspominać takie technologie i takie pomysły. Choć jako modemowiec chyba by, się zirytował. A że nie byłem odosobniony, bana byś miał na większości kanałów…
      Cytując klasyka: “gimby nie znajo”.

    • X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

  41. […] scamy są także kierowane do działalności gospodarczych, których dane wyłudzacze pobierają z systemu CEIDG lub stopek serwisów internetowych. Oto wiadomość jaką otrzymaliśmy od firmy “ORF […]

  42. […] SQL injection w nazwie firmy, wstrzykniętym do Centralnej Ewidencji Informacji o Działalności Gospodarcej — pora na […]

  43. czemu gdy wpiszę w polu szukaj na stronie google.pl, google.com :
    ‘); drop table

    to wyświetlone wyniki schodzą w dół? Czy to znaczy że google jest podatny na atak?

  44. hmm , w sumie dzieje się tak gdy wpisze ‘) albo .)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: