20:54
26/3/2013

W zeszłym tygodniu, w czwartek, przez krótką chwilę około 19:00 po wejściu na serwis wiadomosci.gazeta.pl i artykuł “Obama: Palestyńczycy zasługują na suwerenne państwo” internauci mogli zauważyć dziwne zachowanie swoich przeglądarek — wyświetlały okno “czy chcesz pobrać plik The Act of Killing.avi (479MB)“. Dlaczego serwery Gazety zachęcały do pobrania pirackiego filmu?

Gazeta serwuje pirackie filmy?

dot.studiokropka.pl

dot.studiokropka.pl serwuje plik The Act of Killing

Po analizie strony przez jednego z naszych czytelników, okazało się, że za serwowanie pliku odpowiedzialny jest nie bezpośrednio serwer gazety, a osadzony w kodzie HTML gazeta.pl zasób pochodzący z URL-a:

http://dot.studiokropka.pl/file/4_ccfd[cenzura]7266163a0614e85371312edd#BoxWiadTxt

Co ciekawe, do URL-a serwującego film bezpośrednio linkowało także konto Gazety na Blipie:

wiadomosci - blog użytkownika ^wiadomosci (Wiadomosci.gazeta.pl) na BLIP.PL

wiadomosci – blog użytkownika ^wiadomosci (Wiadomosci.gazeta.pl) na BLIP.PL

Studio Kropka to firma zajmująca się m.in. opracowywaniem napisów do filmów. Podejrzewaliśmy, że zapewne na skutek błędnej konfiguracji serwera tej firmy, zamiast materiału video odpowiadającemu danemu artykułowi na Gazeta.pl, serwer serwował inny plik — pechowo, z jakiegoś powodu okazał się nim ważący 479MB plik z filmem “The Act of Killing” (chociaż jak twierdzi sama Policja pobieranie plików multimedialnych w Polsce na własny użytek jest legalne).

Skontaktowliśmy się więc z Katarzyną Tomaszewską ze Studia Kropka i zadaliśmy pytanie, czy studiokropka.pl wie o fakcie udostępnienia pliku i dlaczego posiada go na swoich serwerach WWW?

Współpracujemy z różnymi festiwalami filmowymi, którym przygotowujemy napisy. Dodatkowo, aby ułatwić koordynację festiwalu, umieszczamy legalnie pozyskane screenery do filmów w pogorszonej jakości na zahasłowanym serwerze i generujemy do nich linki do dyspozycji pracowników festiwalu. Pracownicy festiwalu zamiast wręczyć DVD ze screenerem, wysyłają mailem link do filmu tłumaczom, autorom katalogowym, dziennikarzom i innym osobom, którym w celach promocyjnych lub w celu opracowania tłumaczenia na festiwal ten film jest potrzebny.
Najprawdopodobniej osoba, która umieściła link na stronie gazeta.pl pozyskała go nielegalnie ze skrzynki pocztowej kogoś dla kogo ten screener był przeznaczony.
Dziękuję za poinformowanie nas o zaistniałej sytuacji. Przed chwilą, 5 minut temu, po przeczytaniu wiadomości od państwa, wyłączyliśmy wszystkie linki do naszego serwera i poszukamy bezpieczniejszego sposobu ułatwiania pracy festiwali filmowych. Konsultując się z osobami, które udostępniają linki tłumaczom itp, dojdziemy do tego czyja skrzynka nie jest bezpieczna.
(…)
Jesteśmy już prawie na 100% przekonani, że link został wklejony na stronę portalu przez pomyłkę a nie złośliwie. Dziennikarze umieszczają swoje newsy na gazeta.pl osobiście, redakcja ich nie sprawdza.
Tymczasem postanowiliśmy, że kiedy na nowo uruchomimy linki, będą one aktywne tylko przez dobę i tylko na 1 pobranie, żeby taka sytuacja (której wcześniej nie przewidywaliśmy) więcej się nie powtórzyła.

Jak bezpiecznie przekazywać “wrażliwe” dane przez internet?

Wszystkim osobom, które muszą udostępniać wrażliwe informacje przez internet np. swoim kontrahentom polecamy rozważyć ich zaszyfrowanie przed transferem (np. przy wykorzystaniu darmowego GPG) oraz udostępnienie do pobrania dopiero po weryfikacji tożsamości kontrahenta (np. poprzez wymóg podania loginu i hasła). Dzięki temu eliminujemy ryzyko “wycieku” informacji oraz zapoznania się z jej zawartością przez osoby postronne (no chyba, że nasz kontrahent będzie na tyle “gapowaty”, że wraz z linkiem do danych udostępni login, hasło i swój klucz prywatny…).

Wystawianie plików w tzw. “głębokim ukryciu”, choć kuszące i proste, nie jest dobrym rozwiązaniem…

Przeczytaj także:



16 komentarzy

Dodaj komentarz
  1. “Dziennikarze umieszczają swoje newsy na gazeta.pl osobiście, redakcja ich nie sprawdza.” – profesjonalne dziennikarstwo, nie ma co ;)

  2. dobrze ze nie pornus :-)

    • to chyba właśnie źle? :)

    • Było by po co wchodzić :D statystyki +100%

  3. Podoba mi się odpowiedź studiokropka.pl, nie ma zbędnego tłumaczenia zganiania na programistów adminów itd, ot co krótkie i zwięzłe nie pomyśleliśmy o tym.

    Z drugiej jednak strony nie są to rozwiązania na tyle innowacyjne i niespotykane aby nikt z administracji nie wiedział że ten film pomimo teoretycznego “ukrycia” nadal jest dostępny z zewnątrz.

  4. Tymczasem postanowiliśmy, że kiedy na nowo uruchomimy linki, będą one aktywne tylko przez dobę i tylko na 1 pobranie, żeby taka sytuacja (której wcześniej nie przewidywaliśmy) więcej się nie powtórzyła.

    Jak dla mnie to to jest wystarczające rozwiązanie w tym wypadku. Przecież nikt raczej nie będzie włamywał się na skrzynkę mailową, żeby przechwycić link do screenera w niskiej jakości… ;)

  5. s/twierdzi/potwierdza/

  6. sugestia szyfrowania mediow strumieniowych przez gpg troche nietrafiona. w rzeczywistym swiecie sie to troszke inaczej robi (sesja plus ticket w urlu) :)

    • media strumieniowe to szybciej wysłać zgodnie z RFC 1149 lub 2549.

    • media są ciężkie, do tego potrzebne by były jaskółki. afrykańskie. i kawałka sznurka. czas na nowe rfc.

  7. nic się nie stało. w rządzie znaleziono kupę lewych windowsów. k to jeszcze w ministerstwie gospodarki

  8. Szyfrowanie 500MB pliku z filmem, o ile nie jest to film z prezydentem i jego asystentką w dwuznacznej sytuacji (np.) jest moim zdaniem delikatnym przegięciem.
    Dlaczego nie zastosowano login’u i hasła? Trudno to zrozumieć.
    I (co chyba bardziej ciekawe) dlaczego ktoś to wrzucił na gazeta.pl? Sądząc po poziomie niektórych tekstów nie pracują tylko i wyłącznie orły i tytani intelektu, no ale bez przesady.

  9. Nie ukrywając, wśród poszukiwaczy starego, niedostępnego w sprzedaży oprogramowania, czyli głównie kolekcjonerów starego sprzętu popularne jest tzw. index fishing. Kto korzystał z wyszukiwarki wie o co chodzi: index of i jakiś plik charakterystyczny dla starego programu (setup.tdf, setup.in_ czy podobne). Jakie tam piękne rzeczy czasami wychodzą… Pamiętam jakiś serwer CD-ROM, z 15 CDkami. Z początku mogłem pobrać program do robienia etykiet z 1994, którego potrzebowałem do znalezionej na złomie drukarki termo, ale później ktoś postanowił zmienić płyty na te z kopią zapasową. Sekretariatu jednego z uniwersytetów w Niemczech. Oczywiście wszystko było wystawione przez dobre 2 dni na zewnątrz.

  10. Myślę, że nie mają wystarczających zasobów… :) Chyba że z krakowskiego Rynku Głównego można by nieco pozyskać :)

  11. Hmm.. wszystko czego potrzebuja to OwnCloud.. mozna generowac linki zabezpieczone haslem i z data wygasniecia.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: