V geocaching komunitě se objevil zlý geocacher, o kterém se říká, že připravuje nějaký podraz hodně velkých rozměrů.
Nikdo neví kdo je a co chystá. Jediné, co víme je, že je inteligentní a organizovaný - rád si vede zápisy o všem co se v geocachingu děje, o cachích, cacherech - jak, kdy a proč loví, aby toho mohl co nejvíc zneužít. Hrozba je tedy reálná.
Před pár dny se lidem podařilo najít jeho web, který ovšem vyžaduje přihlášení: https://gc9wrvj.jednoduse.cz/.
Tvým úkolem je jeho stránku hacknout - prolomit přihlášení a zjistit, co chystá. Pokud to půjde, zastavit jej.
Jelikož nemáme přihlašovací jméno, natožtak heslo, bylo po konzultaci s ostatními rozhodnuto, že největší smysl dává začít s aktivitou, které se říká 'content discovery' neboli identifikování skrytého obsahu webových serverů, kde za doménovou část URL (viz níže) zkoušíme dosazovat potenciálně relevantní slova či fráze, popřípadě i s příponami souborů, a tím se "naslepo" snažíme najít cokoli, co je dostupné i bez přihlášení. Podobné nálezy pak mohou vést k dalším zranitelnostem, které nám můžou pomoct přihlášení prolomit.
Příklad content discovery v našem případě může být:
- https://gc9wrvj.jednoduse.cz/plan.txt
- https://gc9wrvj.jednoduse.cz/tajnyplan.txt
- https://gc9wrvj.jednoduse.cz/tajny_plan.txt
- https://gc9wrvj.jednoduse.cz/tajny-plan.txt
- https://gc9wrvj.jednoduse.cz/cosechysta.txt
- https://gc9wrvj.jednoduse.cz/co-se-chysta.txt
- https://gc9wrvj.jednoduse.cz/co_se_chysta.txt
- atd.
Většinou se jedná o automatizovaný úkon, ale pro náš případ rozhodně žádný nástroj používat nemusíme.
Poslední naděje na záchranu geocachingu jsi ty!
Cache v této sérii mají za cíl poukázat na to, proč je bezpečnost na internetu důležitá, a jak relativně neškodné akce mohou mít katastrofální následky.
Cache v sérii:
DISCLAIMER: Neoprávněný přístup k počítačovému systému a nosiči informací dle ust. § 230 trestního zákoníku je trestným činem, který je využitelný pro většinu jednání označovaného jako tzv. hacking, ...
NIKDY nehackujte stránky, jejichž vlastník vám k tomuto účelu nedal souhlas. (např. penetration testing)
Tímto souhlasím s přístupem na výše uvedenou doménu za účelem vyluštění hádanky tohoto listingu.