26. 1. 2012

.hack# RPGhry.cz

16. února 2005 ve 20:00 (plus mínus) byl spuštěn náš prvotní projekt RPGhry.cz, který brzy oslaví sedm let existence. Dalo by se namítnout, že z těch sedmi let byl portál "jen" čtyři roky aktivní, neboď od května 2009 jsem se rozhodl plně se věnovat Deníku nespokojeného hráče. I tak - zakonzervovaný web plnil svou funkci více méně nadále poskytoval hráčům staré hry ke stažení, recenze a rozsáhlou galerii screenshotů plus několik stovek návodů, doplňků a souvisejícího obsahu. Jsem hrdý na to, že jsem já a Drokk vytvořili takto rozsáhlou databázi a archiv. Přes 700 her celkem pečlivě popsaných a cca 30.000 screenshotů - na amatérské podmínky podle mne vynikající výkon. A když se kouknu na design webu jako takového, nemáme se za co moc stydět. Faktem ale je, že jádro webu je skutečně sedm let staré a z toho vyvstal problém, že jsme pro dnešní standard zoufale zastaralí a tedy i nezabezpečení.



O existenci hacku SQL inject jsem slyšel dávno, no ale nespojoval jsem si to s naším domácím webem. Když se nám na webu začal šířit mor spambotů, snažil jsem se to ručně udržovat v čistotném stavu, ale bez doplňující captcha zabezpečení to nemělo cenu. Po migraci na nové servery došlo k rozbití minoritní funkcionality a jelikož aktivní návštěvník byl na našem webu něco výjimečného, nebyl důvod se vzrušovat. Jisté vzrušení bylo na místě, když skrze SQL inject kdosi vstoupil do naší diskuze. To jsem si tak nějak řekl, že bychom měli web zásadně zmodernizovat nebo prostě předělat. Jenže - na to není čas. Dovolte, abych to vysvětlil.

Už před delším časem jsme s Drokkem vedli rozpravu, že bychom měli projekt vzkřísit. Uvažovali jsme o vytvoření platformy, kde by se filtrovaly zprávy o RPG hrách z celého světa - více či méně související. Upustili bychom od komentování, RPGhry by měly být v prvé řadě informační a diskuzní platforma. Mně by se líbilo udělat z webu jakýsi agregátor mnoha kanálů - tedy z webu, Twittru, Google+, Facebooku - kde bych já vybíral relevantní zdroje a skrz nějakou interní administraci jednotlivé informace zveřejňoval na našem webu s odkazem na původní zdroj. Databáze her by se nerozšiřovala, zůstala by v archivu, ale návtěvníci by mohli diskuzovat, sami publikovat novinky atd. Chci tím říct, že přerod RPGher je plánovaný ve velkém stylu. Otázkou ale je, kdy si na to najdeme čas.

Na zaplacení programátora nemáme a i kdybychom využili nějaký existující framework, pořád je potřeba vynaložit značné úsilí dát to do kupy. O samotný běh bych se už postaral sám, ale nastartovat to není jen tak. A tak jsme projekt nechali na "ažpak", až bude více času. Z vlastní zkušenosti vím, že některé věci nemá smysl lámat přes koleno.

Mezitím se stalo dost věcí. Nintendo se na nás obořilo, že dáváme ke stažení jejich staré hry - což byla pravda - a následně Conquest, jakožto zástupce EA, Segy a dalších - nám poslal seznam her, které máme stáhnout z webu. Inu, stalo se, jsme přece poslušní občané svobodné demokratické společnosti - a začínám chystat fakturu Conquestu za sedmiletou propagaci jejich produktů, které jim nesou i díky naší (dosud nezaplacené) reklamě jistě tučné zisky. Ale to se zasmějeme ještě později.

Horší bylo, že kdosi z hackerské grupy Anonymous, o které si myslím, že 90% z nich jsou nudící se čuráci, zasadili smrtící ránu new world order, světovému establišmentu a sionistickým rejdům. Po úspěšném hacku fašistické SONY, po úspěšném narušení integrity zpravodajské služby CNN a po poskytnutí zbraní Breivikovi došlo k dosažení mety nejvyšší - hacku RPG her. Da - da - DÁÁÁ! (Dramatická hudba).

Pravdou je, že někdo si dal tu práci a vytahal během pěti hodin z naší databáze přibližně 5.000 uživatelských účtů, od písmena A po písmeno C. Musím na sebe vzít odpovědnost a je mi jasné, že omluvy nepomohou. Prosím, ověřte si, zda váš účet není mezi postiženými - změňte si heslo do svých služeb. Moc se omlouváme za komplikace a dojde-li k nějakému zneužití, vynasnažím se ze svých sil, abych případné škody anuloval. To je teda jedna věc.

Když se ale řekne A, musí se říct i B.

Toto nemá být v žádném případě obhajoba, ale mělo by to případné uklidnění. Totiž - v oněch pěti tisíci záznamech je přibližně dva tisíce účtů, které jsou registrované pod emailovou adresou z CZ domény (což je většina našich návštěvníků). To je blbá zpráva. Ta "dobrá" zpráva je, že při bližším prozkoumání dojdete k tomu, že většina těchto účtů je vytvořena roboticky. Lze tak usuzovat z velice "netradičního" formátu uživatelského jména, který je doprovázen českou emailovou adresu, pocházející zřejmě z již existující databáze na straně spammera. Abych to vysvětlil - zhruba 90% účtů na RPGhrách je vytvořeno spamovým automatem. Dokonce se mi ozval člověk, který si není jistý, že by se u nás registroval, jenom našel svoji adresu ve výše uvedeném seznamu.

Je určitě ostuda, že se u nás tak šíleně rozmohly falešné účty a ještě větší ostuda, že jsme si nepošéfovali SQL inject - do této míry padá veškerá vina na naše hlavy. V praxi ale lze řici, že počet doopravdy postižených je tímto konkrétním hackem naprosté minimum.

Samozřejmě jsme udělali opatření. RPGhry byly očesány o funkce, kde docházelo k zneužití. Nelze se registrovat, přihlásit, psát do diskuzí a tak dále. Celou tabulku uživatelů jsme smazali. Hry jsou nyní ke stažení i bez přihlášení. Zmizelo i vyhledávátko. Čili - v praxi jsme pro zabezpečení udělali jen to, že jsme odstranili interakci ze strany uživatelů. To není mnoho, ale zase by to mělo být funkční.

Nejsem Kaluža, abych vám mazal med kolem huby, že je všechno v pořádku. Není. Ale zároveň si nemyslím, že by byl důvod k panice. Ztráta důvěry je avšak pochopitelná. Další verze RPGher bude úplně nová a postavená na úplně jiném základě. I tak se ještě jednou za komplikace alespoň omlouváme.

4 komentáře:

  1. Anonymous je debata sama pro sebe.. Ti původní Anoni byli hackeři, programátoři, počítačoví kouzelníci, hrdinové co hackli Sony.. Nová vlna Anonů jsou sotva 15 leté děti co ještě ani neví k čemu ho mají, ale stáhli si LOIC nebo HOIC používaný k DDoS útokům a myslí si, jací nejsou hackeři. Radši ani nebudu psát, co si myslím o českých a slovenských rádobyanonech, kteří asi s velkou slávou hackli RPGhry pomocí SQLinjection, který našli někde na netu..
    Cíl Anonymous, zastavit ACTA a zajistit svobodu netu, je hezký, ale neustálýma DDoS útokama teho nedocílí..

    OdpovědětVymazat
  2. Mal som tam ucet, ale netusim ake heslo, uz par rokov som sa neprihlasil. A ci sa ma to tyka, netusim kedze ten link uz akosi nefunguje :) Teda aspon mi to nic neukazuje. Dokonca ani neviem na aky mail som tam mal ucet, eh :)

    OdpovědětVymazat
  3. Ono bylo jen otázkou času, kdy se nějaký magor objeví. Samotného mě překvapuje, že to trvalo tak dlouho.

    MickTheMage< mě by ani nevadilo, kdo se k tomu mailu dostane, spíš bych byl rád - k registracím kamkoliv používám odchytávače spamu (a nejradši mám ty s přílohama, s tím si poslední dobou vyhraju víc jak s nějakou hrou)

    OdpovědětVymazat
  4. Bylo by fajn, aspon vsem uzivatelu rozeslat mail, ze se tohle stalo, protoze moc jich tohle necte, to vidim, jako zdaleka nejvetsi chybu.

    Jinak, co neni zalohovano neni, proste kompletni aspon tydeni zalohy a obnoveni, je fakt neco, co musi bejt, jinak je provoz webu sebevrazdou.. protoze takovy utok, proste prijit musi.

    OdpovědětVymazat