SZERETGOMGATE - A LELEPLEZÉS: Századvég Alapítvány a szeretgom.hu-n
2008. ápr. 25.

<p>Fontos bizonyítékra bukkantunk a www.szeretgom.hu portált kiszolgáló szoftver naplófile-jainak elemzése közben. A Népszava és a HVG által publikált hosszabb tanulmányban említés történik egy "beszivárgásról", mely szerint a tanulmány készítője a szeretgomra regisztrált, többször is belépett, és hozzászólt az itt folyó beszélgetésekhez.</p>

A rövidebb, a városháza által publikált anyagból ezen eset leírása hiányzik.

Ma este a februári naplófile-ok elemzése közben azonban megdöbbentő információra bukkantam. A kivancsifancsi nevű felhasználó a Századvég Alapítvány telephelyéről, annak számítógépes rendszeréből érkezett a portálra, majd a hosszabb tanulmányban leírt módon hozzászólt a Vízmű tulajdonjogáról szóló vitához ahol - a tanulmány szóhasználatát követve - "pro-polgármesteri" érveket tett közzé

Minden pontosan úgy történt, ahogyan az a Népszava és a HVG által publikált tanulmányban szerepel, és ez a felhasználó a Századvég Alapítvány telephelyéről is belépett a szeretgom.hu honlapra.

Ebből egyenesen következik, hogy Meggyes Tamás két napja folyamatosan hazudik a sajtóban, és valaki bizony közpénzen politikai célból rendelte meg ezt a bizonyos tanulmányt.

Foglaljuk össze az eddigieket

Kikerül egy tanulmány a Népszavához, amely nem titkos, csak senki nem tudott róla, de bárki elkérhette volna.

Meggyes ezt a tanulmányt hamisítványnak, manipuláltnak nevezi. Az árra 1-2 millió forintot mond.

Ezzel párhuzamosan elküld a sajtónak egy rövidebb tanulmányt, amelyből a rá és pártjára kellemetlen adatok kimaradnak. Szerinte ez az általuk megrendelt anyag.

Közben az ár 2,4 millió + áfára, majd egy szerződés előkerülésével 2,5 millió + áfára módosul.

A két anyag összevetése közben találunk egy félbe maradt mondatot. A "hamis" tanulmányban a mondat értelmes, a Meggyes által valódinak tartott tanulmányban a mondat enyhén szólva is értelmetlen.

A "hamis" tanulmány hivatkozik egy beszivárgó felhasználóra, de korábbi dátummal, mint ami a megrendelőn szerepel.

A "valódi" tanulmány ezt a hivatkozást nem tartalmazza.

Ám. A szerver log file-jaiból kiderül, hogy a Századvég szervereiről a "hamisított" tanulmánynak megfelelően látogatták a szeretgom.hu oldalait.

A "hamis" tanulmányban foglalt akcióterv egyéb részleteinek folyamatos megvalósulásra még ki sem tértünk.

Részletek, informatikai érdeklődés nem árt

A szeretgom egy ún. audit log-ot tárol a legfontosabb felhasználói akciókról. A következő táblázat az egy felhasználóról eltárolt adatokat listázza (gyakorlatilag a mikor lépett ki és mikor lépett be, illetve mikor lépett úgy be, hogy beállította az "emlékezz rám" funkciót a portálon.

A kivancsifancsi nevű felhasználó mozgását követtük vissza, aki a következő időpontokban ténykedett a weboldalon:

Naplóbejegyzés száma Dátum Felhasználó ID Esemény
35097 2008-02-03 16:44:23.745 669 Registration
35098 2008-02-03 16:45:29.964 669 Email verification
35411 2008-02-05 10:54:08.183 669 Login
35602 2008-02-06 11:04:48.955 669 Login
35603 2008-02-06 11:04:48.955 669 i_remember_you cookie set
35630 2008-02-06 13:03:43.242 669 Login
35877 2008-02-07 17:28:16.393 669 Login
36619 2008-02-12 09:40:03.888 669 Login
36698 2008-02-12 14:58:52.437 669 Login
36943 2008-02-13 14:02:55.065 669 Login
37364 2008-02-15 14:38:02.366 669 Login
37980 2008-02-19 16:38:53.494 669 Login
38080 2008-02-20 09:08:24 669 Login
38124 2008-02-20 16:59:54.207 669 Login
38773 2008-02-25 09:00:38.021 669 Login
38823 2008-02-25 16:13:22.822 669 Login
40316 2008-03-05 15:52:44.791 669 Login
40718 2008-03-07 10:13:40.858 669 Login
40760 2008-03-07 14:10:35.258 669 Login
40906 2008-03-08 14:20:27.877 669 Login
40907 2008-03-08 14:20:27.877 669 i_remember_you cookie set
41292 2008-03-10 17:16:09.14 669 Login
41493 2008-03-11 20:55:44.908 669 Login
41802 2008-03-13 18:17:40.534 669 Login
41958 2008-03-14 15:32:26.455 669 Login
42627 2008-03-18 15:58:42.337 669 Login
42792 2008-03-19 14:59:31.679 669 Login
44074 2008-03-28 13:57:49.754 669 Login
44717 2008-04-02 18:57:52.646 669 Login
44718 2008-04-02 18:57:52.649 669 i_remember_you cookie set
45334 2008-04-06 16:07:10.372 669 Login
45337 2008-04-06 16:40:15.922 669 Login
45361 2008-04-06 18:20:21.314 669 Login
45362 2008-04-06 18:20:24.594 669 Kilépés
45364 2008-04-06 18:36:23.334 669 Login
45821 2008-04-08 17:53:40.779 669 Login

A webszerverünk ettől függetlenül, közvetlen öszekötés és automatizált elemzés nélkül, statisztikai adatgyűjtés céljából minden egyes kérésről egy rövid információt tárol. Erre egy kiragadott példa:

86.101.26.203 - - [03/Feb/2008:16:45:46 +0100] 
"GET /portal/hirek HTTP/1.1" 200 111383 www.szeretgom.hu
"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)"

Jól látható a sor elején az IP cím, az időpont és a pontos lekért URL, valamint az, hogy melyik korábbi URL-en lévő linkre kattintva ért ide a felhasználó

A két, össze nem kötött adathalmaz együttes elemzésével, manuálisan lehetőség van a két rekordot megfeleltetni egymásnak. Ez a naplófájl részlet például az audit_log tábla 35098-as id-jű bejegyzésével korrelál.

Nem kellett sokat vizsgálni a fenti táblázat elemeit. Már a 35411-es sorhoz tartozó naplófile részlet igen árulkodó volt:

 21:27:21 cserepj@oliwav:~/logs.szeretgom$bzgrep belepes access.20080206.bz2  | grep 10:54
193.225.95.225 - - [05/Feb/2008:10:54:08 +0100]
"POST /portal/belepes?wicket:interface=:5:border:content:loginForm::IFormSubmitListener:: HTTP/1.0"
302 0 www.szeretgom.hu "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
193.225.95.225 - - [05/Feb/2008:10:54:08 +0100]
"GET /portal/content/edit/parent/17400/class/hu.metaprime.cms.entities.content.ForumEntry/ HTTP/1.0"
200 29814 www.szeretgom.hu "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"

A 193.225.95.225-ös IP cím pedig nem más, mint....

(hatásszünet)

(inkább kattintsatok)

whois.domaintools.com

A SZAZADVEG.HU.