O absolutní neschopnosti některých správců webových
serverů už jsem napsal hodně. Situaci, která nastala včera pozdě odpoledne
bych tedy za jiných okolností přešel pouhým upozorněním administrátora
na díry v systému a na celou záležitost rychle zapomněl. Tím, že jsem tak
neučinil a článek dokonce vydal bez toho abych správce informoval - jsem
porušil nejen novinářskou (a hlavně profesionální) etiku, ale jednám také
zcela proti svým zásadám a morálnímu přesvědčení. Celá tato
tragikomická kauza však není jen o bezpečnostních dírách, ale hlavně o
starém známem "Kdo druhému jámu kopá....".
Začněme tedy pěkně od začátku - a sice od léta loňského
roku, kdy byly hacknuty servery: MRK.cz, Peoples.cz a Wastelands.cz
hostující u společnosti P.E.S. Consulting. Průnik měl na svědomí
hacker vystupující pod nickem XakeP (tedy nutno podotknout, že s
vydatnou podporou administrátorů u PSA). XakeP se poté o svém "hrdinském"
činu vyjádřil i v diskusi k článku, který následně vyšel na Světě
Namodro aby tak dokázal svojí převahu (a "debilitu" pana Grilla -
hlavního to šéfa firmy PES). Dovolím si odcitovat několik jeho (jistě
velmi poučných) komentářů:
"....Aloa, jsem zpet admin na pes.cz je uplnej amater, sice dirku v SQL serverech spravila ale je tu jina ! :) Ale tu necham nekomu jinemu :)
Grille vrat se na stredni a usetri sve klienty !
XakeP"
"Grill je uplnej debil ani to nedokazal poradne
zabezpecit !"
"hi...
Im russian hacker's...
To je moje prace :))))
Jak se vam to libi???"
Hack nebyl podle mých zkušeností nijak zvlášť náročný
a zcela určitě to nebylo tak velké jako XakePovo ego. Jednalo se tehdy hlavně
o chybu administátorů serveru a XakeP, který na ni zcela náhodou přišel
ji pouze náležitě zneužil (jako tehdejší zákazník to neměl ničím ztížené).
Poté jsme o něm také na dlouhou dobu slyšely naposled.
Nedávno se však XakeP opět objevil - tentokrát pod nickem Martin
Nurma a to opět k diskusi k článku o bezpečnosti serverů firmy PES.
XakeP/Nurma se zde nezapomněl pochlubit svým loňským "úspěchem":
"Nuze, nechci se nejak vmesovat do doposud klidne diskuse, ale loni v lete(srpen) jsem byl svetkem docela skvele situace :)ú
Naprogramoval jsem si jednoduche stranky na prochazeni disku pomoci FSO v ASP. Supr, dam si to na Dogu(rozmej Cerny Pes) a co nevidim ... muzu litat po serveru Diamant.doga.cz ..pche :) Zalitnu do rootu, pche vvidim adfresar pwd, admin, a podobne :) pche...zalitnu do nich ..... pche....vidim nich soubor hesla.txt :) LOL Kliknu na nej a co nevidim :-))) Nadherne vyeportovany txt soubor hesel
User name; heslo; email >] Co vice si prat, ze ? :-)) A ze tech uctu bylo opravdu hodne ..... stovky
BTW: asi Vas neprekvapi, ze bylo mozne na libovlny diosk zapiosivat poprimade amzat souburky :))
Pche .... nejlepsi na tom hje, ze toto bylo mozne mam pocitz do prosince o:))
Nuze, zajimave, ze ? :)) Priznam se verejne, ze jsem nmikomu nic nezmenil a podobne, ale preevsim jsem napsal NEKOLIKAT na admin@pes.cz :) Ani jedna odpoved - zadna zmena :)
Tomu rikam sluzby :-))
Stacil jeden rpikaz a CELY disk byl tetam :))
Osobne jsem DOgu take strasne moc doporucoval (a sam u ni mam nekolik webiku - bohuzel), ale po takovycto zkusenostech to ve mne moc duvery nevzpbudilo :)) Osobne doporucuji Spider.cz :) Tam maj malo clenu, takze se nedocakte zahlceneho serveru :-)ú)ú
"
Nyní už ale pisatele, který poněkud poopravil popis průběhu
tehdejších události prozradil jeho nezaměnitelný sloh, vytříbený
pravopis a totální neznalost rozdílů mezi platformou Windows a Linux. Nicméně
to o koho jde a co se doopravdy stalo jsem se dozvěděl už mnohem dříve, ještě
v době mého působení ve Světě Namodro a to od hackera samotného. Kdo za
hackem stojí tušil možná i majitel firmy P.E.S. pan Grill, ale vzhledem ke
XakePovu věku mu to stejně nebylo mnoho platné a tak raději na celou věc tiše
zapomněl.
Mistr hacker, kterým je (pro toho kdo na to zatím nepřišel)
vydavatel deníku NetDay Zdeněk Cendra však jaksi pozapomněl poklidit
před vlastním prahem. Řada bezpečnostních chyb, kterými trpí
"jeho" server je tak známá a zároveň fatální, že ukončení
provozu serveru je dílem okamžiku a zvládne jej i naprostý internetový
antitalent.
Z celé řady bezpečnostních děr vybírám ty nejzřejmější:
chyba $DATA a +.htr nebo možnost stažení databáze Access jsou známkou
naprostého diletantství jak admina, tak pana Cendry (velkého to znalce v
oblasti internetové bezpečnosti). Vzhledem ke stáří a obecné znalosti těchto
chyb IIS považuji to, že server ještě funguje za opravdový zázrak a doporučuji
panu Cendrovi zakoupení losu do loterie, protože pokud bude mít stejné štěstí
i tam, stane se z něho velmi brzy majitel některého ostrova v Karibiku.
Nápad na vyzkoušení bezpečnosti ND nepochází z mojí
hlavy - cesty do systému se nalézají na veřejně přístupném (a hojně navštěvovaném)
webu a celý server je tak vydán v šanc případným návštěvníkům
typu Cendra alias XakeP alias Martin Nurma...
NetDay na svých stránkách informuje mimo jiné také o
bezpečnosti webserverů což shledávám přinejmenším poněkud nevhodným.
Opět si dovolím odcitovat z jednoho článku pana Cendry:
"Nejužitečnější řádek je spojení s databází,
které neomylně říká, že databáze data.mdb lze stáhnout z adresy http://www.pc.cz/admin/data.mdb."
nebo "Veškeré soubory obsahující ASP kód pojmenovávejte OPRAVDU
koncovkou ASP, i když je vkládáte pomocí include." - rady
jsou to opravdu nad zlato, ale kdo bude věřit člověku, který má svůj web
děravější než moje ponožky?