19:25
27/3/2013

Rok temu informowaliśmy o powstaniu serwisu Poland Leaks, którego twórcy popełnili kilka nieprawdopodobnie błahych błędów, umożliwiających ich identyfikację i powiązanie z serwisem NowyEkran.pl. Teraz chcielibyśmy przedstawić wyciek.org — idea ta sama, wykonanie zdecydowanie lepsze.

Wypowiedź elektronicznej wojny informacyjnej?

wyciek.org

wyciek.org

Serwis wyciek.org zapowiada publikację wycieków co prawda dopiero od 1 czerwca 2013 roku, ale już teraz zaczyna dość spektakularnie od obrażenia Prezydenta RP, Bronisława Komorowskiego. Celem nazwania Prezydenta “idiotą” nie jest jednak chęć jego obrazy, a próba udowodnienia, że twórcy serwisu głęboko wierzą w jego anonimowość, nie są do namierzenia i czują się bardzo bezpiecznie (art. 135 KK penalizuje karą do 3 lat pozbawienia wolności publiczne znieważanie Prezydenta RP).

Na stronie opisującej idee serwisu, przeczytać można:

Pragniemy aby wyciek.org stał się ostoją dla wszystkich, którzy mają dość tego kraju w jego obecnej postaci, którzy mają możliwość i potrzebę dzielenia się informacją niewygodną w sposób anonimowy, bezpieczny i publiczny. Informcją, która będzie miała swoje uzasadnienie. Koniec ukrywania, mataczenia i manipulacji faktami. Jeśli masz coś za uszami, prędzej czy później trafisz na tą stronę.

Czy wyciek.org jest bezpieczny?

Wyciek.org został solidnie przemyślany. Serwis jest hostowany w szwedzkiej firmie prq.se, której założycielem jest współtwórca The Pirate Bay — można się więc spodziewać, że “ISP tanio skóry nie sprzeda” i będzie stawiał zaciekły opór z wszelkimi formami nacisków prawnych, co dobitnie obrazuje niedawno upubliczniony film AFK obrazujący walkę The Pirate Bay z cenzurą w internecie i wszelkimi postaciami wymiaru sprawiedliwości.

Ciekawostka: firma prq.se aby zapewnić anonimowość i brak tzw. money trace przyjmuje płatności gotówką w kopercie przesłanej pocztą, co zapewnie dość niezłą anonimowość w opłacaniu usługi…

Wyciek.org zapewnia, że:

  • Nie monitorują ruchu sieciowego z/do serwera. Nie logują żadnych pakietów
  • Nie monitorują ruchu z usługą stron WWW. Logowanie usługi stron WWW jest wyłączone
  • Nie monitorują ruchu z usługą poczty e-mail. Logowanie i historia poczty e-mail jest wyłączona
  • Portal skonstruowany jest tak, że w stronę klienta nic nie leci, żadne cookies, id sesji, dosłownie nic
  • Twórcy nie wiedzą nawet ile serwer notuje odwiedzić (i zarzekają się, że wiedzieć nie chcą)

…a na stronie bezpieczeństwo podsuwa kilka scenariuszy paranoikom, którzy chcieliby naprawdę anonimowo zgłosić do serwisu jakiś “wyciek”:

1. Wypal na płycie CD/DVD pliki, które chcesz nam przekazać
2. Znajdź małą, niszową i pozbawioną monitoringu z kamer kafejkę internetową
3. Włóż CD/DVD do napędu, otwórz stronę www.wyciek.org, skorzystaj z opcji “Wrzuć wyciek”
4. Wybierz plik, który chcesz wrzucić i zatwierdź. Wyciągnij płytę z napędu i schowaj (później zniszcz)
5. Wyczyść historię przeglądanych stron (najlepiej z ostatniej godziny) aby nie czyścić całości

Oczywiście niezależnie od tego, czy powyższe jest prawdą czy nie, w kontaktach z wyciek.org zachęcamy do samodzielnego zadbania o swoją prywatność i bezpieczeństwo. Dla tych prawdziwych paranoików, od siebie dorzucilibyśmy jeszcze:

  • 0. Upewnij się, że nagrane na płytę i przesłane do serwisu wyciek.org pliki nie zawierają metadanych, które mogą Cię zidentyfikować (por Hacked by cycki).
  • 1,5. Zanim wyruszysz w drogę do kawiarenki internetowej, zostaw w domu swój telefon komórkowy, iPada i inne urządzenia elektroniczne, po których można namierzyć Twoją lokalizację przy pomocy sieci GSM lub WiFi.
  • 1,55. Podróżując załóż te okulary, chroniące Twój wizerunek przed większością kamer CCTV.
  • 2,5 Nie płać w kawiarence kartą płatniczą!

Jeśli macie dodatkowe porady dla potencjalnych użytkowników serwisu wyciek.org, dajcie znać w komentarzach. Jeśli macie sugestie dla samych twórców — też o tym napiszcie (twórcy skontaktowali się z nami jeszcze w zeszłym roku w sprawie tego serwisu i byli bardzo otwarci na sugestie ulepszeń — dzięki temu możecie już wysyłać im e-maile zaszyfrowane GPG, a niebawem będziecie także mogli korzystać z tego serwisu poprzez HTTPS ;)

Dbałość wyciek.org o prywatność użytkowników jest zauważalna, nawet filmik umieszczony na stronie opisującej założenia projektu jest linkowany przez domenę niezostawiającą ciasteczek: https://www.youtube-nocookie.com/embed/1vXNaayFs1Q.

PS. Z rozmów z twórcami wynika także, że na jednym z pierwszych wycieków ma być wyciek dot. twórców PolandLeaks.org. Ekipa serwisu zapowiada także, że opublikuje informacje na temat pracowników służb zatrudnionych w polskich ISP.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

70 komentarzy

Dodaj komentarz
  1. Aż strach komentować ;-)

  2. Czyli nawet nie zauważą, jak im ktoś zhakuje stronę. Jakoś mi się nie chce wierzyć w brak logów. Poza tym służby właśnie dostały info, że aby dobrać się do twórców tej strony należy solidnie przesłuchać redaktorów niebezpiecznika albo założyć im podsłuchy gdzie się tylko da bo pewnie razem chodzą na wódeczkę.

    • Twórcy wyciek.org kontaktowali się z nami via e-mail, łatwo można się domyślić jaki. I tyle o nich wiemy… ale na wódeczkę z chęcią się z nimi umówimy, ale obawiam się, że nie dadzą się nabrać na ten numer… :-)

    • Za trzy dni i tak będzie “hakiered baj armagedon”

  3. Skoro zapewniają, że “w stronę klienta nic nie leci, żadne cookies, id sesji, dosłownie nic”, to czemu dostałem od nich ciacho PHPSESSID na samym wejściu? :>

    Generalnie można zastosować rozwiązanie wykorzystywane w niektórych starych (może i nowych też?) interfejsach banków – absolutnie wszystko przesyłać POSTem z doklejonymi dodatkowymi danymi, nawet przejście na nową zakładkę. Bolesne to trochę, ale niczego nie przechowujemy ani sekundy dłużej niż jest potrzebne (pod warunkiem że serwer narzuca odpowiednią politykę cache’owania i jest ona respektowana).

  4. Do pierwszego kwietnia jeszcze parę dni…

  5. Z porad bym doradził zamiast bawienie się w kafejki (bo zachowanie opisane w poradach jest dość podejrzane i właściciel by sypnął jak by przyszli odpowiedni ludzie zadający odpowiednie pytania), wysłać to przez TOR-a. Odpalasz TOR-browsera, wchodzisz na wyciek.org, wysyłasz pliki, pliki niszczysz “niszczarką do plików” (program nadpisujący kilkukrotnie dane), kasujesz wszystkie ciastka w tor browserze i historię, a następnie go wyłączasz.

    • Z tego co wiem, TOR Bundle nie zapisuje ciastek i historii, działa w trybie prywatnym ;)

  6. Zamiast czyscic ciastka, lepiej od razu wlaczyc “porno mode” (sesja w przegladarce anonimowa/incognito)

  7. Dla sklerotyków polecam odpalić przeglądarkę w trybie Incognito, bez żadnych pluginów i automatycznie bez historii ;)

    Ewentualnie poszukać sieci na WPA i przez sąsiada podrzucić zbuka ^^ tak, tak, ktoś ciągle zabezpiecza sieć za pomocą WPA

    • Kolega chyba ma na mysli WEP ?

    • “Portal skonstruowany jest tak, że w stronę klienta nic nie leci, żadne cookies, id sesji, dosłownie nic” – czyżby?

      Domain wyciek.org
      Name PHPSESSID
      Value ht7i-ciach-s85
      Host Only true
      Path /
      Secure false
      HTTP Only false
      Session true
      Expiration Date session
      Store Id 0

    • Duh! Wcisnąłem “reply” do posta Sukuremu. Idiota no…

    • My bad ;( Wstyd i hańba mi za ten byk ;(

    • Przez sąsiada? To już lepiej jechać do innego miasta, stanąć gdzieś na osiedlu i włamać się z samochodu do czyjegoś wifi. Tylko uważajcie na kamery :)

  8. ” Jeśli masz coś za uszami, prędzej czy później trafisz na tą stronę. ”

    Może niech zaczną od poprawiania błędów :)

  9. Oj wpa…
    W mojej okolicy jak sie idzie ulica ze smartfonem to jest pare(nascie) sieci “zabezpieczonych” WEP’em…
    Az sie prosza o wyslanie tego przez nie :)

    • Ale zabezpieczonych. Ile ja widzę sieci WiFi wogóle nie zabezpieczonych..

  10. A czy zamiast kafejki może być TOR?

  11. a jeśli to honeypot ?

  12. “Od 1 maja 2013 wyciek.org przejdzie całkowicie na ruch po protokole https”

    Ciekawe czemu nie od razu?

    • Może dlatego że nie tak łatwo anonimowo zdobyć certyfikat SSL? (no chyba, że się mylę…)

    • A ciekawe czemu niebezpiecznik nie dorobił się https?

    • @Komar – brak logowania, brak interakcji z uzytkownikiem, strona www niebezpiecznika nie zmienia sie ze wzgledu na to jaki uzytkownik ja odwiedza. https to nie tylko zwiekszenie bezpieczenstwa ale i narzut na serwer zwiazany utrzymniem wielu sesji ssl. A to juz sie przeklada na koszty zwlaszcza przy dziesiatkach/setkach tysiecy odwiedzin miesiecznie.

      Po co bezmyslnie brnąć w https jesli nie ma biznesowego uzasadnienia? Dla kłudeczki w pasku adresu?

  13. Czemu “Wycieki ruszają od 1 czerwca 2013 roku.”? I co, jesli serwis założony został przez polskie służby?

    • Będzie sposób, aby to sprawdzić. Nie bój się.

    • @Ninja
      A skąd pewność, że ten co będzie twierdził, że sprawdził, też nie jest podstawiony? ;-)
      Albo że ktoś twierdzący, że wysłał i nie opublikowali bo są agenturą, nie jest przypadkiem agentem od podważania wiarygodności?

    • @zdegustowany: napiszę Ci tak…sam sprawdzę. Dla siebie. Tak samo jak i reszta, która będzie chciała coś tam publikować.

  14. Server: Apache/2.2.17 (Ubuntu)
    Allow: GET,HEAD,POST,OPTIONS
    Apache/2.2.17 (Ubuntu) Server at 10.0.0.41 Port 80

  15. Jeśli był założony przez polskie służby to tak czy siak podziała od teoretycznie przyjętego momentu uruchomienia maks z miesiąc jak się wszystko wyda ;]

    A tymczasowo można wysyłać anonimowo info i sprawdzić czy opublikują cokolwiek ewentualnie czy nie zapukają do drzwi :D

  16. Na tym ich czacie to ja widzę duże tłumy karaczanów.

    • Już nie, zamknęli piaskownicę (wróci wieczorem).

    • A teraz ktoś nazwiskami ciągle spamuje. Karaczany, co wy znów knujecie???

  17. “Portal skonstruowany jest tak, że w Twoją stronę nic nie leci, żadne cookies, id sesji, dosłownie nic”

    Nie wiem jak u Was ale u mnie ciasteczko PHPSESSID jest ;-)

    • Faktycznie. Moze tu zajrzą i skorygują.

      Request:

      GET http://wyciek.org/c.php HTTP/1.1
      Host: wyciek.org
      Connection: keep-alive
      User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.172 Safari/537.22
      Accept: */*
      Referer: http://wyciek.org/
      Accept-Encoding: gzip,deflate,sdch
      Accept-Language: en-US,en;q=0.8
      Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

      Response:

      HTTP/1.1 200 OK
      Server: Apache/2.2.17 (Ubuntu)
      Expires: Thu, 19 Nov 1981 08:52:00 GMT
      Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
      Pragma: no-cache
      Content-Type: image/png
      Accept-Ranges: bytes
      Date: Thu, 28 Mar 2013 10:58:15 GMT
      Content-Length: 4923
      Connection: Keep-Alive
      Set-Cookie: PHPSESSID=otfrcqbv1vus1krim07raXXXX; path=/

      �PNG
      -

  18. Korygujemy, dzięki wszystkim za sugestie ;-)
    Faktycznie, PHPSESSID nam umknęło, wymusił usługodawca.
    Poprawiamy. Za chwilkę powinno być ok.

    • Ha! Mamy wasze IP teraz! :)

    • Liczymy zatem na dyskrecję ;-)) odnośnie PHPSESSID to grubsza sprawa jest, PRQ tam trochę z CGI ma pokonfigurowane i gryzie się z htaccessem i PHP-em, na dobrą sprawę nawet z php_ini jest problem, ale szykują nam już dedyk więc ogarniemy temat dość sprawnie.

    • A ja jestem paranoikiem i chciałbym, żeby strona wyciek.org dała się chociaż trochę używać z wyłączonym javascriptem

  19. Od czasu jak FBI założyło facebook to teraz CBA zakłada własne serwisy?

    • Z tego, co mi wiadomo, to nie FBI, a CIA.

    • zdechłem z idiotów xD

  20. Kolejna rada ws. anonimowości:
    – nie używaj samochodu służbowego jak chcesz podjechać w drodze z/do pracy pod kafejkę internetową bo praktycznie wszystkie samochody służbowe mają zamontowany GPS, a ponadto zawsze jakaś kamera przemysłowa może złapać tablicę rejestracyjną
    – kup ubranie specjalnie przeznaczone do tego zadania tzn. przesłania wycieku z kafejki internetowej, a następnie je zniszcz/spal/wyrzuć do śmietnika sąsiada:) aby nie można było zidentyfikować cię. To jednorazowe ubranie powinno być nijakie i zarazem różnić się od twojej codziennej garderoby (chodzisz na co dzień w koszuli i marynarce? to kup bluzę z kapturem i dresy, najlepiej z czterema paskami, aby się nie wyróżniać.) Pamiętaj tylko zniszczyć to ubranie po całej akcji.

    • Do płacenia monetami w kafejce ubierz rekawiczki żeby nie zostawić odcisków palców… ;-)

  21. Jak oni zrobili nielogowany chat? :P

  22. @Alladyn2 – wrzuć co masz, “nie bój dupy”.

  23. Dla jeszcze większej paranoi dodałbym:
    – wypal na tę płytę firefox portable skonfigurowany bez jakichkolwiek wtyczek i dodatków i użyj trybu prywatnego/incognito
    – alternatywnie użyj innej przeglądarki w trybie prywatnym

    Dla jeszcze jeszcze większej paranoi:
    – zrób to samo ale z torem i firefoksem portable.

  24. Jeśli jest to kolejna tzw. “szeroko zakrojona” akcja Służby Bezpieczeństwa w polsce to jedno jest pewne … będzie zabawnie :)
    Szczególnie po słynnej próbie “wykreowania zamachu” przez wyżej wymienione służby w trakcie ,której kozłem ofiarnym został Pan Brunon K.
    Polska bezpieka stała się po tej akcji pośmiewiskiem w oczach wielu ludzi :) Może chcą się teraz “odkuć” … ?

  25. The Internet: http://www.youtube.com/watch?v=iDbyYGrswtg

  26. 1. Nie ma strony w sieci tor, czemu ?
    2. Nie ma adresu w sieci freenet, dlaczeczemu?
    3. go to 1

  27. ciekawe kto zacznie na wyciek pluć :]
    Coś czuje że jak będzie zbyt ciekawie to dość często będę czytać posty nt wycieku iż faktycznie jest jakaś ściema, lep ma muchy. Swoją drogą ciekawe wnioski będzie można wysnuć z faktu kto pierwszy ruszy z dark pr.
    btc donate?

  28. serwer notuje odwiedzić ?? nie powino być odwiedzin?

  29. Chyba przeczytam później, a teraz tylko przytrolluję grammar-nazi style: chcą chłopaki i dziewczęta z wyciek org budować lepszą Polskę, to mnie się marzy, żeby ta lepsza Polska bardziej szanowała język. Piję tu do takich kwiatków jak “Jeśli masz coś za uszami, prędzej czy później trafisz na tą stronę”. Na “tą stronę” przestałem czytać 8-)

  30. Hmm, to, że ich nie udupią za znieważenie prezydenta może oznaczać dwie rzeczy:

    1. Są tacy nieźli i faktycznie pewni tego, że ich nikt nie namierzy (tylko głupcy są pewni).

    2. Są służbami specjalnymi, które dostały po prostu przyzwolenie na taką prowokację.

    I teraz dalej:

    1. Ktoś, kto aspiruje do poważnego serwisu, który ma naprawiać cały kraj, nie powinien raczej zaczynać od znieważania prezydenta.

    2. Napisanie o kimś, że jest idotą bez uzasadnienia – to dziecinada (gimbaza).

    3. Poważny serwis na współdzielonym hostingu (wnioskuję z komentarzy) to trochę niepoważne?

    4. Ta akcja z ciastkiem sesyjnym też nieciekawa i to na samym początku.

    5. Stawianie prokuraturze warunków świadczy o nieznajomości prawa, a z tego co rozumiem, wyciek.org chce dbać o to, by przepisy prawa były w Polsce przestrzegane (np. prawo do informacji). (“Dajemy prokuraturze czas na ustalenie i postawienie przed Sądem autorów tego wpisu do 1 czerwca 2013 roku”). Warunki prokuraturze mogą stawiać np. słuzby specjalne, a po tym terminie nadal będą ścigani.

    Pachnie mi to dziecinadą/gimbazą ewentualnie “harcerzami Macierewicza”.

    Zwłaszcza, że z komentarzy ma Niebezpieczniku wynika, że z obecnego hostingu przenosza się na dedyka, więc miała miejsce już wymiana pewnej ilości komunikatów/ticketów/etc. pomiedzy nimi a providerem. Dwa – w komentarzach na niebezpieczniku tez im się już chyba zdarzyło napisać z “niezabezpieczonego” IP.

    Zatem albo tylko im się wydaje, że są nieźli, albo jest to akcja słuzb specjalnych.
    Bo nie chce wierzyć w to, że kilku gimnazjalistów się zrzuciło na serwer. Ew. jakaś grupka dziennikarzy – chociaż patrząc na jakość obecnego dziennikarstwa – również gimnazjalistów ;)

    Pożyjemy, zobaczymy.

  31. Jest taki mały bład. “na tę” nie “na tą”
    “(…) prędzej czy później trafisz na tą stronę.”

  32. Pootwierane sesje, logi z czatu, szyfrowanie PGP(:D), szczycenie się hostingiem PQR i poradnik instalacji TOR’a.
    Serio?
    Może dla nieogarnietych ludzi w temacie robi to wszystko ‘wrażenie’, ale dla pozostałych jesteście pośmiewiskiem. Z liceum się urwaliście?

    • total agree, nie ma nic gorszego niz sztuczne poczucie bezpieczenstwa :P

    • wlasnie dlatego jest to marna prowokacja

  33. Najpierw wyciek.org musi zdobyć zaufanie, aby cokolwiek poważnego ludzie zechcieli tam wrzucać. Poczekamy na pierwsze materiały i jak się okażą serio, to może zachęci to innych do współpracy. Reasumując: nie ma co gdybać, poczekamy… zobaczymy :)

  34. 1 maja minął, a HTTPS jak nie ma, tak nie ma. Śmierć z zapomnienia???

  35. 7 maja, a https nie ma…

  36. 2 czerwca wycieków brak, https nadal nie działa, czyli dużo
    szumu o nic

  37. Niestety , i tym razem służby daly ciala “))))

  38. 5 Czerwiec, wycieków brak.

  39. Ten wyciek.org to jakis pic na wodę, chwalili sie że w maju przejdą na https a serwis ruszy 1 czerwca :D i co? i kicha, redaktorzynom coś chyba nie pykło :P

  40. Mieli być tacy anonimowy i co? Chyba zamknięli ich za znieważenie prezydenta ;)

  41. no i ciacho PHPSESSID=2podbd42k734mt52c16cagftm0 i
    ostrzeżenia brak że ciastków używają, łobuzy!

  42. “Disabled
    This website has been disabled!
    The reason may include failure to pay for the
    service or usage beyond the agreed limits.”
    I tyle wyszło z wyciek.org :)

  43. Z tego co dało się zauważyć wszelkie obietnice związane z tym projektem nie zostały dotrzymane – start nie nastąpił, brak https.
    Poza “kilkoma scenariuszami dla paranoików” serwis okazał się zupełnie bezużyteczny.
    Dziś nie ma już po nim śladu.

  44. A szkoda… ;]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: