Otázky okolo hacku Banán.cz zůstávají

Webhosting Banán a jeho spolumajitele Radovana Kalužu jistě není třeba na stránkách Lupy představovat. Většina čtenářů pravděpodobně zná alespoň jedno jméno, a to díky intenzivnímu a kontroverznímu selfpromo, které Kaluža na českém Internetu předvádí – počítaje v to vkládání příspěvků do diskusí pod různými jmény, v nichž „zákazník Banánu“ dává najevo spokojenost se službami, či klasický mailový spam, za který, podle údajů z několika zdrojů, obdržel banan s.r.o. letos v lednu od Úřadu pro ochranu osobních údajů pokutu v blíže neurčené výši.

První incident

V pondělí 18.1. ve večerních hodinách (první informace o nedostupnosti webů jsou ze 22:15) pozměnil neznámý útočník obsah serverů hostingu banan.cz tak, že se na všech stránkách u této společnosti hostovaných, tedy včetně stránek samotného provozovatele, návštěvníkům zobrazovalo toto upozornění:

banan.cz webhosting hacked

Mozna se divite, proc adresu vidite tuto namisto stranky, kterou hledate Duvodem je, ze banan.cz, spolecnost spammer celeho internetu a vsech diskusnich for je velmi nebezpecne servery, ktere provozuji webove stranky, kde sve zakazniky. Jeden z mnoha z techto chyb jsou zneuzivany take. To neni chyba vlastnikem tohoto webu, ale spolecnosti, banan.cz, ktery neni bezpecne servery. Majitel tohoto webu, doporucujeme, aby vase stranky presunout do jineho poskytovatele, ktery muze zajistit jejich servery. Muzete se zeptat proc banan.cz ani zajistit jejich servery dobre. Oni spatne zabezpeceny server ma dlouho moc a oni asi neumi to udelat lepe. My se omlouvame navstevnik i majitel techto stranka za provozu naruseni jejich.

Webové prezentace hostované u společnosti banan s.r.o. tak zaznamenaly několikahodinový výpadek, provoz byl podle zpráv obnoven až v úterý 19.1. okolo 3:30 ráno.

Druhý incident

Ve čtvrtek 21.1. okolo 13:00 obdrželi někteří zákazníci společnosti banan s.r.o. mail tohoto znění (nepodařilo se nám zjistit, zda všichni nebo pouze ti, co se zeptali):

Vážený kliente, v noci na 19.1.2009 cca od 23:00 do 03:00 došlo k nedostupnosti Vašich www stránek, která byla zapříčiněna pokusem o napadení serverů naší společnosti. Následkem toho byly v uvedené době spuštěny bezpečnostní procedury, které způsobily dočasné odstavení provozu Vašich stránek. Díky adekvátně nastaveným bezpečnostním postupům jsme tento bezpečnostní incident vyřešili bez ztráty či ohrožení dat na Vašem hostingu. Přesto se Vám omlouváme za omezenou dostupnost Vašich www stránek v uvedené době. Součástí bezpečnostního řešení byla změna hesel Vašeho FTP účtu, které Vám doporučujeme nastavit znova (pokud jste tak již neučinili), ideálně s odpovídající kvalitou hesla (využijte velká i malá písmena, číslice a symboly). Děkujeme za pochopení. – vedoucí technické podpory banan s.r.o.

Tentýž den, tj. ve čtvrtek, ale kolem šesté večerní, byl rozeslán některým zákazníkům další mail:

banan.cz webhosting hacked AGAIN (2nd edition) Vazeni zakaznik a navstevnik, Tato stranka je nabouran opet protoze banan.cz i po utoku naposledy nejsou schopni zajistit jejich servery bezpecnost! Dokonce i potom co videl banan.cz nabourat svych serveru mohli by delat neco ale delali nic a dale sve servery nezabezpecene zastarale a nebezpecne programy spatne nastaveni nebezpecne. Upozornneni ze mam pristup ke vsem servery! Mysli komu ty dat vase osobni udaje! Pokud chcete smazat vsechna data tvoje tak jsem to kdybych chtel udelal davno uz! Pro vas vase data neni vubec dulezite? Ty napsal tvoje udaje o sobe banan.cz a oni nechrani je vubec a oni svoje servery nebezpecne nabourane. Ja celou databazi banan.cz zkopirovat tady tvoje informace:

Mail obsahoval i výpis některých údajů ze zákaznické databáze, mezi nimiž bylo uživatelské jméno, reálné jméno, právní forma, adresa, IČ, DIČ, informace o tom, zda je dotyčný plátce DPH, nebo např. MD5 hash hesla do administrace. Někteří postižení pravost tohoto hesla potvrdili, jiní tvrdí, že se jedná o heslo, které měli „před časem“, další naopak tvrdili, že hash odpovídá heslu, které „před pár dny změnili“.

V tutéž dobu hlásí někteří uživatelé problémy s nedostupností serverů či mailu. Není tedy zřejmé, zda se jedná o nový průnik nebo zda hacker pouze posílá informace, které získal při prvním incidentu. Provozovatel v tu samou dobu rozesílá další mail, z něhož lze usoudit, že jde o druhý útok, ale není to explicitně řečeno:

Vážený zákazníku, bohužel došlo k pokusu o útok na Vaši webovou prezentaci, ten byl však neúspěšný a žádná data nebyla smazána nebo poškozena. Tímto neúspěchem se pokouší dotyčná osoba poškodit dobré jméno společnosti tím, že Vám zasílá některé Vaše osobní údaje, které jsou však vesměs veřejného charakteru – dohledatelné přes databáze WHOIS doménových registrátorů. Bohužel mohlo dojít k úniku hesla do Administrace služeb, které je však uloženo v kryptované podobě, a proto jsme Vám resetovali toho heslo a zároveň i heslo pro přístup přes FTP. Tímto bezpečnostním incidentem se již zabývá Policie České republiky.

Reakce provozovatele

V pátek se na stránkách Bloger.cz, které provozuje banan s.r.o, objevila „tisková zpráva“. Na stránkách banan.cz ale není zmíněna, do médií pravděpodobně poslána nebyla. Její autentičnost byla tedy sporná; jednatel společnosti Mgr. Radovan Kaluža na žádost o potvrzení pravosti zprávy, která byla součástí naší žádosti o vyjádření k celé věci, odpověděl, že „odpoví na všechny otázky v pondělí večer, pokud s tím bude marketingové oddělení souhlasit“. Nakonec jednatel Michal Kaděra ve svém vyjádření pro Lupu její pravost potvrdil. V tiskové zprávě provozovatelé u­vádí:

Společnost banan s.r.o. se dne 19. ledna 2010 stala obětí útoku hackera. Útok, jak byl plánován, byl neúspěšný, data klientů nebyla smazána ani poškozena. „Zareagovali jsme v nejrychlejším možném čase a provedli veškeré kroky, abychom minimalizovali škody,“ popisuje Michal Kaděra, jednatel společnosti banan s.r.o. „Podobné útoky byly v poslední době zaznamenány na www portály se silnou značkou, převážně na Slovensku,“ dodává Kaděra.

Těžko říct, odkud provozovatel ví, jak byl útok plánován a co měl za cíl. Vzhledem k obsahu inkriminovaného prohlášení, které se na stránkách během útoku objevilo, lze usuzovat, že účelem nebylo ani smazat ani poškodit data uživatelů, ale především upozornit uživatele na to, že servery hostingu banan.cz nejsou, podle názoru útočníka, adekvátně zabezpečené. Plánovaného záměru tedy s největší pravděpodobností dosaženo bylo.

Motiv útoku

Text připomíná útoky na slovenské portály, které před časem provozoval hacker, známý jako „igigi“. Toto srovnání však poněkud kulhá – igigiho „modus operandi“ byl jiný: Napadal servery, četl jejich databázi a veřejně oznamoval na svých stránkách, že daný server má mezeru v zabezpečení, že se mu podařilo získat DB, a jako důkaz svého tvrzení přiložil obrázek struktury DB a několik osobních záznamů. Útok tak v první řadě měl upozornit provozovatele portálů na bezpečnsotní rizika. Útok na banan.cz však proběhl podle naprosto jiného scénáře a zjevně mířil jinam, čemuž nasvědčuje pozměnění stránek, upozornění uživatelů a především následné obeslání zákazníků mailem s „důkazy“.

Výpadek webových služeb byl přibližně dvouhodinový a nedošlo k žádným škodám. „Všem klientům se ještě jednou omlouváme,“ říká Michal Kaděra. Společnost banan s.r.o. v současné době intenzivně pracuje na vylepšení bezpečnosti serverů. „O provedených opatřeních budeme naše klienty informovat,“ předesílá Kaděra.

Výpadek trval ve skutečnosti přes čtyři hodiny, jak přiznával sám provozovatel v prvním mailu uživatelům. Tisková zpráva uvádí pouhé dvě hodiny, což působí dojmem, že se provozovatel snaží celou záležitost bagatelizovat. Stejně tak prohlášení o tom, že „nedošlo ke škodám“ – odcizení databáze je škoda poměrně závažná – vypadá jako snaha o bagatelizaci. Zda je tato snaha v podobných situacích úspěšná, je sporné; faktem zůstává, že PR odborníci doporučují v takových případech nelhat, nevymýšlet si a jednat se zákazníky na rovinu, protože zákazníci spíš odpustí problém než to, když s nimi někdo jedná jako s hlupáky.

Banan s.r.o. nyní připravuje právní kroky a trestní oznámení na neznámého pachatele. „Orgány činné v trestním řízení by měly prověřit, zdali nedošlo k naplnění skutkové podstaty trestného činu neoprávněného přístupu k počítačovému systému a nosiči informací dle § 230 trestního zákoníku. V případě, že uvedené jednání bylo vedeno úmyslem způsobit společnosti banan s.r.o. škodu nebo jinou újmu, hrozí pachateli mimo jiné trest odnětí svobody až na tři léta,“ vysvětluje Josef Aujezdský z Advokátní kanceláře Mašek, Kočí, Aujezdský (eAdvokacie.cz).

Hacker navíc některým klientům rozeslal jejich jméno a další údaje veřejného charakteru dohledatelné přes databáze WHOIS doménových registrátorů. „Šlo o cílený útok, který nás má poškodit. Tomu napovídá i další aktivita hackera s rozesíláním emailů některým klientům,“ popisuje Michal Kaděra, jednatel společnosti banan s.r.o.

Opět lze úspěšně pochybovat o tom, že MD5 hash hesla do administrace banan.cz je údaj veřejného charakteru dohledatelný přes WHOIS. Vyjádření Michala Kaděry o „úmyslném útoku, který má banan s.r.o. poškodit“ v tomto kontextu vyvolává otázku, zda společnost víc poškodil útok hackera, nebo úroveň krizové komunikace společnosti, která v tomto případě selhala.

Vyjádření vyvolalo bohatou diskusi, plnou velmi ostrých reakcí na adresu společnosti banan s.r.o. Diskuse byla po nějakém čase smazána a moderována. Viz screenshot původní diskuse.

Po moderaci v diskusi zůstal pouze příspěvek, popisující kladné zkušenosti s webhostingem banan.cz, který je nápadně podobný jiným pochvalným příspěvkům, které v posledních letech psal Radovan Kaluža do diskusních fór. V dalších komentářích padl např. tento dotaz:

Proč tedy rozesíláte emaily s nově vygenerovanými hesly k administraci a do správy domény? Pokud jak tvrdíte žádná data nebyla zcizena, nedovedu si tento krok vysvětlit.

Na něj odpověděl uživatel, podepsaný jako Michal Kaděra, takto:

Nezastíráme, že k úniku hesel mohlo dojít a přestože jsou v zašifrovaném tvaru, jejich rozkódování obzvláště u jednoduchých hesel není nemožné. Proto jsme se rozhodli hesla změnit.

(Od odeslání příspěvku do vydání tohoto článku provedl provozovatel v diskusi změny, mj. všechny odpovědi s podpisem „Michal Kaděra“ jsou nyní podepsány „obrázkem“ Mgr. Radovan Kaluža.)

Toto vyjádření je poněkud odlišné od výše uvedeného tiskového prohlášení, v němž se tvrdí, že „nedošlo k žádným škodám“. Na druhou stranu je nutno dodat, že rozkódování hesel je možné především kvůli tomu, že jsou uložena v podobě MD5 hashů, aniž by předtím byla „osolena“ (technika, kdy je k řetězci s heslem před spočítáním hashe přidán jiný řetězec, nazývaný „salt“, který ztíží nalezení hesla pomocí tzv. „rainbow tables“ – pozn.aut.) Zabezpečení přihlašovacích údajů tedy patrně nebylo provedeno v souladu se současnými standardy.

Shrnutí

Útok na hosting banan.cz opět připomněl starou známou pravdu, že „v každém systému je alespoň jedna bezpečnostní díra“. Na rozdíl od jiných medializovaných útoků z poslední doby nebyl tento veden primárně s úmyslem poškodit či odcizit data, ale upozornit na – podle tvrzení útočníka – chatrné zabezpečení hostingu a osobních údajů zákazníků. Ať už šlo o opravdový průnik zvenčí nebo např. o pomstu bývalého zaměstnance, který odcizil databázi a znal heslo. Celá akce byla zaměřena především tak, aby oslovila zákazníky banan s.r.o. (stávající či potenciální) a odradila je od využívání služeb této společnosti. O motivaci můžeme jen spekulovat – nespokojený zákazník, konkurent, technicky zdatný IT, kterému např. vadí chování a jednání Radovana Kaluži (čemuž by nasvědčovala zmínka o spamu a jazyk, který není nepodobný svéráznému projevu RK)?

Navíc není jasné, zda opravdu hacker pronikl do systému dvakrát, v pondělí a znovu ve čtvrtek (tomu naznačuje formulace druhého „vzkazu“, druhý mail od provozovatele v tomto není jednoznačný), nebo zda se jedná o jeden průnik, při němž byly odcizeny údaje, které byly o několik dní později rozeslány, jak naznačuje tiskové prohlášení. Pokud jde o následek prvního průniku, proč tedy provozovatel měnil hesla až ve čtvrtek?

Obětí hacku se může stát opravdu kdokoli. Rozdíl je v tom, jak se k podobnému incidentu postižený postaví, zda čelem, nebo zda se bude snažit celou záležitost bagatelizovat. V tomto případě lze říct, že PR společnosti banan s.r.o. nezvolilo nejšťastnější způsob reakce a komunikace. Zda se to nějak projeví na počtu zákazníků či na leckdy agresivním a neodbytném propagování Banánu ve všemožných fórech ukáže až budoucnost.

Vyjádření společnosti banan s.r.o.

Požádali jsme o vyjádření jednatele společnosti banan s.r.o., a položili jsme jim několik otázek. Za provozovatele odpověděl pan Michal Kaděra, jednatel společnosti banan s.r.o. Jeho odpovědi ponecháváme v plném znění a bez komentáře:

Je prohlášení na této adrese oficiálním vyjádřením společnosti banan s.r.o.? Z webu banan.cz není toto vyjádření nijak odkazováno.

MK: Ano, prohlášení je oficiálním vyjádřením společnosti.

Kolikrát byl systém banan.cz kompromitován? První hack, který je popsaný i ve výše odkázané zprávě, proběhl 18.1. Incident s rozesíláním hesel následoval až 21.1., v té době někteří uživatelé hlásili nedostupnost vašich služeb; rovněž vaše technická podpora údajně rozesílala mail, v němž se mj. uvádělo: Vážený zákazníku, bohužel došlo k pokusu o útok na Vaši webovou prezentaci, ten byl však neúspěšný a žádná data nebyla smazána nebo poškozena. Tímto neúspěchem se pokouší dotyčná osoba poškodit dobré jméno společnosti tím, že Vám zasílá některé Vaše osobní údaje, které jsou však vesměs veřejného charakteru – byl tedy ve čtvrtek 21.1. zaznamenán druhý útok, nebo jste až ve čtvrtek posílali tento mail k útoku z pondělí?

MK: Průnik byl jeden, následné e-maily jsou důsledkem průniku z 19.1.

Jak okomentujete tvrzení, že hacker rozesílal údaje veřejného charakteru z WHOIS, když mezi údaji byly např. MD5 hashe hesel do administrace či informace o tom, zda je dotyčný plátcem DPH (správnost údajů někteří uživatelé potvrdili) – a tyto údaje rozhodně ve WHOIS nejsou?

Viz následující otázka

K předchozí otázce: Je komentář podepsaný „Michal Kaděra“ autentickým vyjádřením jednatele společnosti banan s.r.o, pana Michala Kaděry? Pokud ano, znamená to, že potvrzuje únik hesel ze systému a popírá tak tím tvrzení o „veřejném charakteru údajů“, které je v tiskovém prohlášení?

MK: Nepopíráme, že narušitel získal údaje jako ID klienta a heslo v šifrované podobě, což samozřejmě považujeme za vážný problém. Z tohoto důvodu byla všechna hesla změněna a klientům následně zaslána. V tiskové zprávě je uvedeno, že údaje jsou vesměs veřejného charakteru a je možné je získat i jinak snadnějším způsobem. Dle mého názoru toto vyjádření nijak nepopírá následný komentář.

Opět k předchozí otázce: Je-li komentář pravý, znamená to, že hesla byla v databázi Banán.cz uložena jako MD5 hashe, aniž by byla předtím snížena pravděpodobnost jejich rozluštění, např. přidáním SALT řetězce? Považujete to za dostatečný způsob? Jsou nově vygenerovaná hesla SALTována?

MK: V současné době provádíme práce, které mají podobným problémům do budoucna zamezit. Neradi bychom z pochopitelných důvodů konkrétní kroky zveřejňovali. Klienty webhostingu www.banan.cz budeme o provedených krocích informovat.

Jednalo se opravdu o průnik? Nemohlo jít o pomstu např. ze strany bývalého zaměstnance, který odcizil databázi zákazníků během svého pracovního poměru?

Nic nenasvědčuje tomu, že by se jednalo o zaměstnance společnosti. Průnik proběhl z „venku“.