Hlavní navigace

Pes.cz obsahoval závažnou bezpečnostní chybu

Karel Chvalovský 21. 2. 2001

O webhostingové službě Pes.cz Lupa psala již minulý týden v souvislosti s konfigurací nameserverů na českém Internetu. To jsme však netušili, že právě Pes.cz obsahuje závažnou chybu umožňující každému snadno získat data uživatelů, administrátorská hesla hostovaných webů nebo číst soukromou poštu.

Minulý týden jsme se v rubrice Šťoura věnovali špatné konfiguraci nameserverů na českém Internetu, přičemž jako názorný příklad byla použita známá webhostingová společnost Pes, která na tomto poli patří k největším v České republice. Poměrně bouřlivá diskuze – která se následně k celému článku strhla – přinesla ke službám této společnosti řadu ostrých výhrad. Kontaktoval nás rovněž jeden ze čtenářů Lupy a současně uživatelů služeb Psa, aby se s námi podělil o své zkušenosti se zabezpečením jednoho ze serverů společnosti.

Prvořadou záležitostí, kterou má mít každá webhostingová (a nejen ona) společnost na paměti, je ochrana údajů a informací svých klientů. Zajistit totální ochranu je velmi obtížné – shodnou se na tom pravděpodobně naprosto všichni. Existují však alespoň základní pravidla, která by měla být dodržena. Že to zase až taková samozřejmost není, jste se ještě počátkem tohoto týdne mohli přesvědčit na jednom ze serverů společnosti Pes.

Pravděpodobně nejnebezpečnější součástí všech webhostingových služeb jsou nejrůznější skriptovací jazyky, které jsou na straně daného serveru povoleny. Uživatelé tak dostávají do rukou poměrně silné nástroje, které mohou v případě špatného nastavení napáchat značné škody. Právě proto si všechny společnosti na nastavení takových služeb dávají bedlivý pozor, protože jsou si vědomy možného nebezpečí zneužití.

Jaké tedy bylo překvapení již zmíněného uživatele Psa, když začal na jednom ze serverů experimentovat s jazykem PHP a okamžitě získal přístup ke všem datům všech uživatelů na tomto serveru. Překvapení se posléze změnilo v údiv, protože uživatel brzy zjistil, že data může nejen číst, ale také nejrůznějším způsobem měnit. Získal tak bez jakékoli námahy kontrolu nad daty více než 1.100 zákazníků služby.

Celý „Pes“ je zakopán v špatném nastavení konfigurace PHP, díky kterému uživatel získá (resp. mohl získat) přístup nejen k datům svým, ale také k datům ostatních uživatelů serveru. Stroj briliant.pes.cz (194.228.3.141), pracující s operačním systémem Windows 2000 a ISS 5.0, je však jediným serverem, na kterém se zmíněná chyba vyskytla – ostatní servery byly nastaveny správně a žádné nebezpečí na nich tedy nehrozilo. Správně bylo na tomto serveru nastaveno také kupříkladu ASP. Odpovídající nastavení podobných služeb by ale mělo náležet pro zkušeného správce systému mezi záležitosti rutinního charakteru.

Že každý uživatel serveru mohl měnit a číst údaje ostatních uživatelů – a stačily k tomu pouze základní znalosti PHP či stáhnutí vhodných skriptů – názorně demostruje kupříkladu následující obrázek:

370

Díky této skutečnosti byl vlastně neomezený přístup k datům uživatelů a nebyl problém zjistit také hesla pro přístup do nejrůznějších redakčních systémů či databázových systémů pro správu internetových stránek – nalezení přístupových hesel bylo pouze otázkou času, který se případný zájemce rozhodl pátrání věnovat. Namátkou se tak podařilo získat hesla kupříkladu k správě následujících serverů (hesla samozřejmě neuvádíme a neuvádíme ani přesnou adresu administračních systémů):

369

To však nebylo zdaleka vše, protože kromě změn na webových stránkách bylo možné také číst soukromou korespondeci oněch 1.100 uživatelů!

O tom, že podobné pochybení je skutečně více než jen hrubou chybou ze strany poskytovatele služby, nemůže být pochyb a je třeba do jisté míry dát za pravdu některým názorům, jež negativně hodnotily kvalitu služeb společnosti Pes. Nejde však pouze o Psa – pokud by se tento či podobný problém vyskytl na jakékoli freewebové službě, neušel by po zásluze tvrdé kritice. Pokud se však chyba objeví u jedné z největších placených hostingových služeb, lze to považovat za alarmující.

S podobnými problémy se lze často setkat na serverech, kde jsou skriptovací jazyky provozovány jaksi mimochodem, ale skutečnost, že se chyba vyskytla v souvislosti se službou poskytováním webhostingu se živící, pouze dokládá přísloví o mistru tesařovi, který se někdy utne.


Tento článek byl v předstihu zaslán provozovateli služby Pes, aby se k jeho obsahu vyjádřil a především opravil uvedené chyby tak, aby nemohlo dojít k poškození uživatelů služby. Reakci provozovatele přikládáme:

Uváděná chyba se skutečně stala. Byla to záležitost několika hodin a byla již odstaněna. Vznikla při zavádění nového on-line systému u domén, webů a e-mailů. Po krátkou dobu byla nedopatřením pro jiné uživatele v rámci serveru přístupná některá data části klientů na uvedeném stroji. Omlouváme se.

Vše jsme napravili a tak není důvod k obavám ze strany našich zákazníků. K žádné ztrátě dat ani k jejich poškození nedošlo.

K minulým reakcím na článek týkající se DNS nemáme zájem se vyjadřovat. Je zbytečné dohadovat se o nesmyslech a lžích s lidmi, kteří se rozhodli záměrně a sprostě poškodit naše jméno.

Předpokládáme, že reakce na tento poněkud neaktuální článek budou stejně bouřlivé. Vzhledem k okolnostem tohoto případu, kdy se server Lupa.cz snaží přinést za každou cenu senzaci, se předem distancujeme od jakýchkoliv reakcí na případné urážky. O „objektivitě“ přístupu redaktorů serveru Lupa.cz svědčí mimo jiné i ta skutečnost, že nám nebyla zveřejněna naše tisková zpráva, která popisovala naši nově rozšířenou nabídku služeb a namísto toho nám byl poslán mail s nabídkou na reklamu za několik desítek tisíc korun.

Josef Grill, jednatel společnosti Pes

Stanovisko redakce: Stanovisko pana Josefa Grilla publikujeme (jak je ostatně naší zásadou) v nezkrácené a neupravené podobě. Na vysvětlenou dodáváme, že společnosti Pes byla skutečně nabídnuta možnost komerční prezentace na serveru Lupa – stejně a za stejných podmínek, jako je pravidelně nabízena desítkám společností, které mají co do činění s Internetem – nicméně tak bylo učiněno 3. ledna tohoto roku, tedy nikoli ve spojitosti s jakýmikoli na Lupě publikovanými články o této společnosti, jak by se snad čtenář mohl mylně ze stanoviska pana Grilla domnívat.

Mirek Zeman, editor serveru Lupa

Našli jste v článku chybu?

18. 7. 2003 2:44

Mark (neregistrovaný)
...no to bych opravdu na vlastni oci chtel videt, ktery transceiver by umel tolikastavovou modulaci aby "narval" OC-192 nebo 10G Ethernet do RG-58 coaxu... ;-) P.S.: Pokud ho u Hafika bezne pouzivaji, okamzite zahazuji svuj maly cluster s optikou a sveruji se do jejich "pece" ;-)

28. 6. 2002 9:59

jkt (neregistrovaný)
to neni vec myadminu, ale mysql serveru...
Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Měšec.cz: Přejete si číslo účtu na přání?

Přejete si číslo účtu na přání?