Bezpečnostní tragikomedie

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 25.11.2015
Hodnocení/Hlasovalo: 2.24/45

Zajímá v česku někoho bezpečnost? Ač mnoho firem staví ve svých prohlášeních bezpečnost IT na první místo, realita je naprosto odlišná. Když vidíte, jak se firmy ve své malosti k bezpečnostní otázce staví, tak vám zůstává rozum stát.

Nebojte se, o tom, že minimálně 20% českých e-shopů obsahuje SQL injection zranitelnosti, pomocí nichž je možné vytáhnout z jejich databází všechna důvěrná data klientů, nebo že české vývojářské firmy produkují drahé redakční systémy do jejichž administrace se přihlásíte pouhým zadáním řetězce ' or 1--, zde psát nebudu. I když mě bezpečnostní situace na českém internetu nepřestává udivovat, prostě jsem si na tuto skutečnost již zvyknul.

Napsat chci dnes o tom, jak jsem před pár dny objevil nový attack vektor proti webovýcm aplikacím, který dokáže plně ovládnout miliony webových stránek, o tom jak neexistují kanály, kterými dát tuto skutečnost postiženým společnostem vědět, a jak se k tomuto problému staví ti, kteří by o podrobnější informace měli stát v prvé řadě.

Začínáme

Po objevu zranitelnosti se ve mě samozřejmě byly různé otázky typu: "Co teď s tím?". Ono je někdy mnohem lepší nic nevědět a žít v klidu, než vědět. Vědění totiž pouze přidělává starosti.

Patrně Vám neunikla informace o tom, že jsem se rozhodl nový vektor útoku představit 7. prosince na OWASP Czech Chapter Meetingu. O této skutečnosti jsem informoval ve zdejších aktualitách.

Později jsem si sice uvědomil, že je to příliš brzy, než aby se vývojářské společnosti stihly na zveřejnění připravit a zazáplatovat své systémy, ale to již bylo pozdě. Přednáška byla oznámena a mě nezbylo nic jiného než začít jednat. Přecijen vzít si na svědomí většinu českých e-shopů, ještě k tomu před vánoci, to skutečně nechci.

OK, rozhodl jsem se tedy nakonec pro sdělení podrobných informací o zranitelnosti vývojářským firmám a provozovatelům webových aplikací s předstihem. Prostě aby měly čas se dopředu připravit a zabezpečit své systémy, před tím, než se tato žhavá informace dostane do rukou veřejnosti. Vypsal jsem tedy v rámci své Hacker Academy výjimečný seminář určený pouze pro zástupce vývojářských společností - s vyloučením veřejnosti.

Pokud byste mi chtěli vyčítat vyšší cenu semináře, tak si uvědomte, že je tento určen opravdu jen firemní klientele, které znalost prezentovaných informací může zachránit miliony, ne-li celou živnost. Současně pak také tato cena dokáže odradit jednotlivce s nekalými úmysly, kteří by se chtěli na tento seminář rovněž dostat.

Jak dát vědět světu

OK, plán, jak předat potřebné informace včas do správných rukou, by byl. Teď jen dát informaci o tomto semináři vědět cílové skupině. Nahodil jsem tedy reklamy na Sklik na Adwords, vložil příspěvky do několika internetových diskuzí, zveřejnil oznámení ve zdejších aktualitách a na Facebooku, oslovil jsem český CSIRT a v neposlední řadě oslovil napřímo také některé velké společnosti, u kterých jsem si potvrdil, že jsou na zranitelnost náchylné.

Pojďme se tedy podívat, jak to zatím vypadá. Nevím, co na to řeknete vy, ale já nestačil věřit vlastním očím. Bezpečnost? V Česku? Ale kdeže ...

Lupa.cz, Živě.cz

Lupu a Živě jsem měl za servery, které navštěvuje právě cílová skupina, která by se o problému měla dozvědět. Proto jsem příspěvky vložil právě do jejich veřejných webových diskuzí. Můj příspěvek byl následujícího znění:

Zdravím vás,
využívám tohoto kanálu k tomu, abysh rozšířil informaci o novém attack vektoru, který je namířen proti webovým aplikacím. Zranitelné je nezanedbatelné procento webů, e-shopů a jiných aplikací. Informace o nové zranitelnosti budou zveřejněny na OWASP Czech Chapter Meetingu v pondělí 7. prosince. Protože se na mě ale obrátila řada firem, že by potřebovaly před útočníky náskok, rozhodl jsem se výjimečně také pro uspořádání semináře, kde zranitelnost s náskokem představím firemní klientele z oboru.

Pokud se tedy věnujete vývoji webových aplikací, nebo nějaké ty aplikace provozujete pro ostatní, pak si dovoluji návštěvu tohoto semináře vřele doporučit.

Přijde Vám na tomto textu něco závadného? Mě ne, ale lidem z Lupy a později i ze Živě patrně ano. Na Lupě byl z diskuze můj příspěvek odstraněn zhruba za hodinu, na Živě pak druhý den. Tomu říkám skvělá spolupráce a podpora. Pokud si tento článek budete číst po 7. prosinci, až budete dohledávat informaci o tom, jak došlo k napadení vašeho webu, a budete si klást otázku, proč jste se o novém útoku nedozvěděli dříve, budete alespoň vědět, kam se obrátit.

CSIRT

S českým CSIRT týmem byla komunikace zatím naprosto bezproblémová. Bohužel se ale ukázalo, že v podobné záležitosti je tento tým poněkud bezzubý. Jediné, co by pro mě prý mohli udělat, je rozeslat mailinglistem informaci mezi ostatní CSIRT týmy, případně ještě zveřejnit informaci na jejich webu v sekci Aktuálně z bezpečnosti. Zatím tam informace nevisí, tak tedy uvidíme, zda někdy bude. Po sedmém prosinci zcela určitě.

Aktualizace (27.11.2015): Po odprezentování zranitelnosti CSIRT týmu se věci daly do pohybu a aktuálně se v jejich spolupráci řeší, jak ideálně celou věc zveřejnit tak, aby se minimalizovaly možné škody.

Dotčené společností

Několik společností (hlavně ty, které poskytují cloudové služby), o nichž jsem věděl, že jejich služby jsou zranitelné, a že bude možné po sedmém prosinci zcela ovlédnout weby a e-shopy všech jejich klientů jsem oslovil napřímo a právě reakce některých z nich mě přinutily sepsat tento článek. Posuďte sami.

Nejmenovaná společnost

Asi největším českým provozovatelem cloudového webhostingu a e-shopů u nás, je bezpochyby jedna nejmenovaná společnost, jejíž servery dle mého úsudku hostují statisíce webových aplikací. Má zpráva, která směřovala na jejich podporu, byla následujícího znění:

Dobrý den,
rád bych Vás upozornil na existenci nového, velice kritického vektoru útoku, který postihuje i Vaše webové aplikace. Ke zveřejnění informací o zranitelnosti a možných útocích dojde v pondělí 7. prosince na OWASP Czech Chapter Meetingu, viz. https://www.eventbrite.com/e/owasp-czech-chapter-meeting-tickets-19677355500.

Protože zranitelnost umožňuje plně ovládnout všechny Vámi hostované webové aplikace, dovoluji si Vám doporučit účast Vašich zaměstnanců na neveřejném semináři, kde budu novou zranitelnost prezentovat pouze společnostem, které se vývoji a provozování webových aplikací věnují. Tento seminář se bude konat ve středu 2. prosince od 17:00 v Praze, viz. https://www.hacker-academy.cz/seminare/novy-vektor-utoku, což by Vám mohlo poskytnout dostatek času na odstranění závady.

Toto oznámení prosím neberte na lehkou váhu.

S pozdravem Roman Kümmel

Tak a teď to přijde. Držte se! Druhý den mi totiž přišla následující odpověď:

Dobrý den,
obdrželi jsme v rámci zákaznického centra od Vás níže uvedenou zprávu. Prosím o vyřazení našeho emailu z databáze kontaktů. Podobnými zprávami se zahlcuje zákaznická podpora a může se stát, že se z tohoto důvodu nebudeme věnovat jinému Vašemu požadavku souvisejícímu s projekty u naší společnosti.

Děkuji Vám.
S pozdravem,
MH

Dám na doporučení paní H. a vyřadím si tuto společnost ze svých kontaktů. To stejné bych ale radil udělat i všem ostatním, kteří ji používají, nebo o provozování webů na jejich serverech uvažují. Toto podle mě nejmenovaná společnost trochu nezvládla a přeji paní H., aby na své funkci vydržela alespoň do vánoc.

Banan.cz

Také Banán má jistě nezanedbatelný podíl na trhu, co se rychlých webových stránek týká. Od Banánu mi neustále chodí nabídky nového webu znějící takto:

Vážený pane Romane Kümmele,
dovolili jsme si Vám vytvořit návrh Vašich nových www stránek na adrese http://kurzy.zakladzdarma.cz/W261788. Tyto stránky poskytujeme zcela zdarma, včetně grafiky a redakčního systému pro správu webu. Umístění Vašich Vám zajistíme u některé z našich partnerských webhostingových firem.

Umíme Vám vytvořit i další weby na míru, nebo stránky zviditelnit ve vyhledávačích (Seznam, Google), či přesunout obsah Vašeho stávajícího webu.

V případě, že máte o nový web http://kurzy.zakladzdarma.cz/W261788 zájem, nebo chcete vytvořit jiný pěkný vzhled zdarma, kontaktujte nás odpovědí na tento e-mail.

S pozdravem
Marek Koutný
odd. zákaznické podpory ČR/SR

OK, když nový web, tak ať je alespoň dobře zabezpečen, říkám si. Vyžádám si tedy přístup do administrace, ať nekupuji zajíce v pytli. Do druhého dne mám v e-mailu následující zprávu:

Dobrý den,
redakční systém můžete zdarma vyzkoušet na: www.banan.cz/testovaci-rs . Budete-li mít více dotazů, zašlete mi prosím teleofní kontakt, rád Vám k nabídce poskytn více informací.

Baloga Matouš
Obchodní oddělení
banan.cz webhosting

Super. Jak je to tedy s tou bezpečností. Kouknu a vidím, že i na Banánu lze hodně rychle uklouznout. Jinými slovy, také všechny weby na banan.cz lze velice snadno dostat pod svou kontrolu. Píši tedy panu Balogovi zpět:

Dobrý den,
děkuji Vám za informaci. Bohužel ale musím váš RS s díky odmítnout. Obsahuje totiž velice závažné zranitelnosti, které by mohli vést k napadení a k defacementu hostovaných stránek. Mám-li to shrnout do jedné věty, není problém kompletně hacknout libovolný web postavevený na vašem RS. Snad se podobné útoky vašim zákazníkům vyhnou.

Děkuji, s pozdravem
Roman Kümmel

A reakce... Ještě chvíli počkejte... Ještě počkejte... Raději už snad ani nečekejte. Já čekám už zhruba 14 dní a reakce nikde žádná. Ne že bych ve svém mailu psal něco o tom, že odpověď očekávám, ale vy byste takovouhle zprávu hodili bez povšimnutí do koše?

Závěrem

Co říci závěrem? Snad ani nic. Obrázek si, věřím, uděláte každý sám...