Strona główna

Zamach majowy na akademię policyjną

saper, śr., 05/13/2009 - 05:22
in

Część pierwsza, czyli jak na to wpadłem

Przeglądając we wtorek wieczorem artykuły w polskiej Wikipedii w związku z wczorajszą rocznicą zamachu majowego 12 maja 1926 roku trafiłem na hasło Oficer dyplomowany, w którym znajdowała się informacja, że Wyższa Szkoła Policji w Szczytnie również nadaje taki tytuł, ze wskazaniem na serwis internetowy uczelni. Ponieważ brakowało odnośnika do konkretnego dokumentu, postanowiłem tę informację sprawdzić i wszedłem na stronę http://www.wspol.edu.pl

Strona główna Wyższej Szkoły Policji w Szczytnie

W sekcji "dokumenty" można znaleźć dokument o nazwie Pakiet_informacyjny_WSPol.pdf. Pomyślałem sobie, że ten dokument może zawierać coś o tytułach nadawanych przez uczelnię.
Pakiet informacyjny

Ponieważ ze względu bezpieczeństwa nie używam dodatków do obsługi plików PDF, zapisałem ten plik na dysk.

Ściągnij plik...

Jednak zawartość pliku była inna niż się spodziewałem. Otóż zamiast typowego nagłówka dla plików PDF i następującej serii mniej lub bardziej zrozumiałej sekwencji znaków tworzących PDF można było zobaczyć fragment strony internetowej:

Podgląd PDF

Otóż na początku pliku doklejono tam mnóstwo linków ze mnóstwem bełkotliwych opisów. Wyglądało to jak próba wypozycjonowania jakieś strony w wyszukiwarkach internetowych przez wstawienie mnóstwa linków. Dopiero po przewinięciu dalej, zaczynał się właściwie wyglądający fragment pliku PDF - czyli sieczka pozornie niezrozumiałych znaków zaczynających się od symbolu %PDF

Tu zaczyna się właściwy PDF

W tym momencie było jasne, że z serwisem dzieje się coś bardzo niedobrego. Pomyślałem sobie, że włamywacze użyli prostego mechanizmu stosowanego w serwerach WWW do dopisania jakiegoś fragmentu do wszystkich plików w serwisach internetowych. Obejrzałem więc źródło strony, z której ściągałem wspomniany wyżej plik.

Źródło strony HTML

Okazało się, że każda strona serwisu Wyższej Szkoły Policji zawiera podobne fragmenty odwołujące się do mnóstwa stron. Fragmenty te były ukryte w kodzie strony i są niewidoczne dla zwykłego użytkownika. Co więcej, każda strona zawierała inny fragment pokazujący na inne serwisy.

Jak to często bywa w takich przypadkach, link te prowadziły do innych (również złamanych) serwisów internetowych - głównie forów i galerii. Jeden z linków prowadził na stronę galerii zdjęć Wyższej Szkoły Policyjnej i postanowiłem podążyć tym śladem.

Otóż każdy link prowadził do magicznej mini-strony, która oprócz (znów) mnóstwa słów kluczowych zawierała malutki obrazek we Flashu, który przekierowywał użytkownika dalej. Nie używam wtyczki Flash firmy Adobe w mojej przeglądarce, ale udało mi się obejrzeć kod tego programiku przy użyciu ogólnodostępnych narzędzi do obróbki plików Flasha. Na końcu jednej z takich magicznych stroniczek znalazłem wpis służący do zbierania statystyk:

Statystyki?

Bardzo ciekawe skąd to się tam wzięło.

Dalej linki prowadziły do strony udającej "test komputera" - wyświetlającej "postęp skanowania komputera" i meldujące odnalezienie błędów. W każdym przypadku użytkownik był zachęcany do ściągnięcia programu do optymalizacji rejestru systemu Microsoft Windows (niezależne chyba od tego, z jakiego systemy operacyjnego korzystał jego komputer), co w końcu owocowało ściągnięciem ponad megabajtowego programu, który robił z komputerem Bóg wie co.

Jak podają niektóre serwisy internetowe, program ten wykonuje różne dziwne operacje, m.in. uaktywnia się w systemie w momencie odtwarzania plików wideo oraz łączy się przez sieć ze swoją centralą. Kto wie, co ten program robi naprawdę z komputerem użytkownika.

Część druga, czyli zgłaszamy problem

Zbliżała się północ dnia 13 maja i postanowiłem jak najszybciej poinformować uczelnię o zaistniałym problemie. Niestety, telefonu podanego na felernym serwisie internetowym nikt nie odbierał.

Znalazłem na stronie internetowej Biuletynu Informacji Publicznej garść różnych telefonów do różnych jednostek, jednak żaden nie odpowiadał. Nie spodziewałem się nikogo zastać w bibliotece, ale miałem nadzieję, że jednostka jest chroniona i ktoś dyżuruje w jednostce.

O godzinie 1:25 postanowiłem skontaktować się z Komendą Wojewódzką Policji w Olsztynie, gdzie podano mi numer do dyżurnego Wyższej Szkoły Policji. Jednak niestety i ten numer nie odpowiadał.

Kolejna próba to kontakt (ok. 1:34) z Komendą Powiatową Policji w Szczytnie, gdzie uzyskałem kolejnych kilka numerów telefonów (podałem numery, które już mam). Dyżurny był uprzejmy skonsultować się chwilę i poszukać informacji, jednak miałem wrażenie, że, jak się wyraził, "nie wie czy będzie mógł mi pomóc". Muszę przyznać, że ta grzecznościowa formuła w naszym języku nabrała dla mnie dość szczególnego znaczenia - przecież pomagamy sobie nawzajem?

Kolejna runda telefonów nie przyniosła skutku i przyznam, że zacząłem sprawdzać na mapach dostępnych w internecie, jak daleko jest z komendy powiatowej do kampusu Wyższej Szkoły Policyjnej (Odpowiedź: nieco ponad kilometr).

W końcu około 3:30 udało mi się skontaktować z dyżurnym WSPol (pod numerem otrzymanym w Olsztynie) i przekazać sprawę. Pozwoliłem sobie zasugerować szybkie zamknięcie serwisu oraz zostawiłem namiary do siebie.

O godzinie 5:23 serwis jednakże dalej straszył w niezmienionej formie.

Oczywiście nie powinno dziwić, że informację o nadawaniu przez Wyższą Szkołę Policji w Szczytnie tytułu oficera dyplomowanego usunąłem z Wikipedii jako pozbawioną źródeł.

Bardzo dziękuję Piotrowi "VaGli" Waglowskiemu za wsparcie i wspólne rozpracowanie sprawy. Piotr napisał również notatkę na ten temat.

Odpowiedzi

Dodaj nową odpowiedź

  • Adresy internetowe są automatycznie zamieniane w odnośniki, które można kliknąć.
  • Dozwolone znaczniki HTML: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Znaki końca linii i akapitu dodawane są automatycznie.
  • You can enable syntax highlighting of source code with the following tags: <code>, <blockcode>.
  • Internal paths in double quotes, written as "internal:node/99", for example, are replaced with the appropriate absolute URL or relative path.

Więcej informacji na temat formatowania