11:36
16/6/2010

Pamiętacie HADOPI? Tę wspaniałą francuską ustawę, która miała ukrócić piractwo przy samej du..szy internauty? Grupa hackerów określająca się mianem Cult of the Dead Hadopi dotarła do oficjalnego trojana, tfu! programu stworzonego przez Orange, który w myśl ustawy miał być instalowany na komputerach francuskich internautów. I znalazła naprawdę bardzo ciekawe, a zarazem szokujące rzeczy.

HADOPI świętej pamięci

Najpierw słowo wstępu. HADOPI to skrót oznaczający Wysoki urząd ds. rozpowszechniania utworów i ochrony praw w Internecie (fr. Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet). W myśl ustawy HADOPI, internauta, który trzy razy zostanie przyłapany na ściąganiu warezów zostanie odcięty od internetu. Na szczęście, część z zapisów ustawy uznano za niezgodne z konstytucją i HADOPI została odrzucona rok temu.

fot. giveawayboy, CC

A teraz do rzeczy…

Orange stworzyła bardzo brzydki kod

Wczoraj wieczorem na blipie napisaliśmy, że hackerzy dotarli do rządowego trojana, tfu! programu autorstwa Orange. To właśnie ta aplikacja w myśl ustawy miała być instalowana na komputerach obywateli, aby mogli oni wykazać przed swoim kochającym państwem, że ich internetowa aktywność nie narusza ustaw o ochronie praw autorskich.

Problem w tym, że według hackerów, ten program to jeden wielki backdoor, włączający maszyny na których się znajduje do, jak to uroczo określają, patriotycznego, “rządowego botnetu” :-) Co ciekawe, aby zainstalować trojana, trzeba za niego zapłacić 2 EUR

Hackerzy w swoim oświadczeniu listują niedociągnięcia programu:

  1. Program przed użyciem musi zostać aktywowany. W tym celu odwołuje się do adresu http://update-cdt.nordnet.fr/hadopi-server-technical-ws-1.0.x/HadopiTechnicalServlet gdzie jeszcze dwa dni temu witał go serwer JBossa z loginem admin i hasłem admin (prawie jak na Wykopie) — najprawdopodobniej serwer ten spełnia funkcję C&C botnetu.
  2. Program uwierzytelnia się otwartym tekstem
  3. Cult of Dead Hadopi stworzył keygena do programu (aby można było aktywować oprogramowanie bez dołączanie go do “botnetu”. Jeden z działających seriali: HADO-PIHA-DOPI-AC7B
  4. Możliwość wyłączenia oprogramowania wymaga podania hasła, które jest tajne… ale przetrzymywane w rejestrze według formuły: SHA1(unicode(password + “Hadopi Secret Partage”)) w zmiennej “StartupState” klucza HKLM\SYSTEM\CurrentControlSet\Services\cdtsvc. Jeśli komuś uda się znaleźć kolizję dla hasha, ma swoje hasło :-)
  5. Od czasu do czasu HADOPI sprawdza, czy nie ma aktualizacji. Szuka wtedy pliku o nazwie cdtupd.exe.zip i jeśli go znajdzie, to go instaluje, na prawach administratora… Tak więc każdy kto przejmie serwer aktualizacji (update-cdt.nordnet.fr) lub zatruje DNS swojej ofierze, może zmusić ją do wykonania dowolnego kodu.

Jak piszą wyznawcy kultu zdechłego hadopi, wydawało się, że program stworzony do monitoringu użytkowników będzie doskonale zabezpieczony. A tu taki klops. To chyba dobrze, że Francuzi nie muszą go używać. Z drugiej jednak strony, gdyby musieli, łatwo byłoby ominąć ten nakaz…

SecurityFail to cykl wpisów o wtopach z dziedziny (nie)bezpieczeństwa — nie tylko komputerowego. Wszystkie posty tego cyklu przeczytasz tutaj.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

23 komentarzy

Dodaj komentarz
  1. Mirror pliku ktoś posiada? Z czystej ciekawości też bym reversnąął ? :D

  2. Brakuje literki ‘to jeden wielki backoor”

  3. Mirror na Rapidshare nie jest już dostępny – limit 10 pobrań.

  4. Z każdą linijką gały mi coraz bardziej na wierzch wyłaziły. . .
    Spodziewałbym się czegoś takiego po Związku Radzieckim, a nie Francji. IMO kandydat do faili a.d. 2010.

  5. Nie ma to jak profesjonalne rozwiązania firmy Orange. Rzeczywiście okrutny FAIL.

  6. Pełno literówek w tym artykule. Przeczytajcie dwa razy zanim coś opublikujecie. No offence. ;)

  7. inny mirrorek:
    http://rapidshare.com/files/398975543/Install-CT.exe

  8. Bardzo ciekawy artykuł.
    Tutaj mały błąd składniowy: “To chyba dobrze, że Francuzi, że nie muszą go używać.”

    P.S. RapidShare ma limit na w/w maszynopis, przydał by się dodatkowy mirror :D

  9. Trojan trojanem, ale żeby jeszcze za niego płacić ? :D
    Francuzom na mózg się chyba do reszty rzuciło, o mieszkańcach pobliskich Wysp też nie ma co pisać – sami na siebie bat kręcą…

  10. Torwald 2010.06.16 12:51 | #
    Trojan trojanem, ale żeby jeszcze za niego płacić ? :D

    Torwald: hehe Micro$oft Windows to też jeden wielki trojan, i też trzeba za niego zapłacić ;)

  11. Ktoś wrzucił na wykop http://www.wykop.pl/link/386575/hadopi-fail/

  12. Kolejny mirror na kilku serwerach:
    http://www.multiupload.com/ZE2WANOPSW

  13. To nie tyle backdoor, co backhole, trafniej zwane asshole. :P

  14. Kult zdechłego hadopi to całkiem niezła nazwa :P

  15. Ja przeczytałem “kult zwiędłych konopi” …

  16. “Od czasu do czasu HADOPI sprawdza, czy nie ma aktualizacji. Szuka wtedy pliku o nazwie cdtupd.exe.zip i jeśli go znajdzie, do go instaluje, na prawach administratora…”
    Chyba miało być “to go”.

    Ale art ciekawy :)

  17. Czy utorent tak samo się nie aktualizuje?
    Sprawa jest taka, że rodzice płacą za internet i użyczają go swoim dzieciaczkom. Tam dzieciaczki mogą robić wszystko. Łącze z którego jest piracone jest karane odcięciem po dwóch upomnieniach dla właściciela. Więc dostawcy internetu pomyśleli sobie żeby sprzedawać ‘gwarancję’ nie odcięcia w postaci programu za 2 euro. Oczywiście mogliby wyfiltrować pirackie domeny (piratebay.org i inne) u siebie, było by to pewniejsze (bo tak dzieciak może wpaść na pomysł odinstalowania programu). Niezrobione tego tylko dlatego, że Francuzi są przyzwyczajeni, że za oprogramowanie się płaci. Jak by dostali dodatkową usługę za 2 euro do abonamentu to by sądzili że płaca za nic (bo niemożna sprawdzić czy filtrowanie działa, znaczy się można ale jak jest luka to odłączenie od sieci, a tak widzą że działa).
    Jednym słowem jest to przekręt orange, program został napisany w ciągu jednego dnia na kolanie, ma wartość tylko marketingową. Można było by to taniej zrobić przez filtrowanie ip bezpośrednio u dostawcy internetu.
    Ci z niezbędnik.pl w ogóle nie rozumieją francuskiego, coś tam sobie przeczytali z google translator i wypuścili takiego potworka.

  18. To jest właśnie to, że w świecie wirtualnym wygrają mądrzejsi i pracowitsi a nie koniecznie pieski systemu (państwowego). Ja miałem jakiegoś trojana co mi spalił twardziela (!) a na koniec postawił hasło w BIOSie. Cosik jak wirus czarnobyl. Nie pomógł kaspersky ani norton. Teraz mam eseta i go chwalę. Na 90% uważam, że to była sprawka naszych stróżów państwowości bo ja mam u nich etykietkę anarchola. Wcześniej miałem jakieś niesamowite problemy z podpięciem się do sieci, bo wszyscy mi odmawiali. Sąsiedzi moi takich problemów nie mieli wcale. A, i od 6 lat mam telefon na podsłuchu.

    • Wybacz, ale brzmisz jak człowiek cierpiący na paranoję na poziomie psychiatryka.

  19. Jak to się na Debianie Sid x64 instaluje?

  20. Źle się bawi Orange. Muszę zmienić operatora sieci komórkowej po wygaśnięciu umowy.

  21. […] dany host ma zainstalowane oprogramowanie antywirusowe i firewalla? Tak jak Francuzi, specjalnym rządowym rootkiem/trojanem? No i co z użytkownikami systemów, na które antywirusów nie ma? (Nie mam na myśli *niksów czy […]

  22. Ostatnio wysłałem SMS-a o tresci Stop dla ACTA2 do jednej sieci radiowej. Od razu zawalili mi komórkę SMSa-mi z reklamą, Wróciłem do internetu po czteroletnim wykluczeniu cyfromym po wykluczeniu cyfrowym, które powstało w ramach wykluczenia cyfrowego na zabytkowym komputerze. A było mi odmówić podpisania zrzeczenia się praw rodzicielskich nad córką? Obiecywali mi opłacenie neostrady. Kierowniczka MGOPS-u lubiła czytać moje posty w internecie, a że nie były zgodne z linią polityczną PO. twierdziła iż wy[osuję głupoty. I nie myślcie iż to dla mnie koniec cyrku. Teraz staram się o ręte. ale obawiam się iż nie dostanę, bo sprawjący władzę obawiają iż ponownie wykupię neostradę, a że cierpię na alergię na głupotę ludzkąm, efekt dla nich jest łatwy do przywidzenia. Nie ma to jak jazda pod IPV 4 na DNS-ie z Olsztynie. na którym amerykanie zainstawali kilka lat temu oprogramowanie szpiegowskie……

Odpowiadasz na komentarz Grzechooo

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: