Pes.cz obsahoval závažnou bezpečnostní chybu

Minulý týden jsme se v rubrice Šťoura věnovali špatné konfiguraci nameserverů na českém Internetu, přičemž jako názorný příklad byla použita známá webhostingová společnost Pes, která na tomto poli patří k největším v České republice. Poměrně bouřlivá diskuze – která se následně k celému článku strhla – přinesla ke službám této společnosti řadu ostrých výhrad. Kontaktoval nás rovněž jeden ze čtenářů Lupy a současně uživatelů služeb Psa, aby se s námi podělil o své zkušenosti se zabezpečením jednoho ze serverů společnosti.

Prvořadou záležitostí, kterou má mít každá webhostingová (a nejen ona) společnost na paměti, je ochrana údajů a informací svých klientů. Zajistit totální ochranu je velmi obtížné – shodnou se na tom pravděpodobně naprosto všichni. Existují však alespoň základní pravidla, která by měla být dodržena. Že to zase až taková samozřejmost není, jste se ještě počátkem tohoto týdne mohli přesvědčit na jednom ze serverů společnosti Pes.

Pravděpodobně nejnebezpečnější součástí všech webhostingových služeb jsou nejrůznější skriptovací jazyky, které jsou na straně daného serveru povoleny. Uživatelé tak dostávají do rukou poměrně silné nástroje, které mohou v případě špatného nastavení napáchat značné škody. Právě proto si všechny společnosti na nastavení takových služeb dávají bedlivý pozor, protože jsou si vědomy možného nebezpečí zneužití.

Jaké tedy bylo překvapení již zmíněného uživatele Psa, když začal na jednom ze serverů experimentovat s jazykem PHP a okamžitě získal přístup ke všem datům všech uživatelů na tomto serveru. Překvapení se posléze změnilo v údiv, protože uživatel brzy zjistil, že data může nejen číst, ale také nejrůznějším způsobem měnit. Získal tak bez jakékoli námahy kontrolu nad daty více než 1.100 zákazníků služby.

Celý „Pes“ je zakopán v špatném nastavení konfigurace PHP, díky kterému uživatel získá (resp. mohl získat) přístup nejen k datům svým, ale také k datům ostatních uživatelů serveru. Stroj briliant.pes.cz (194.228.3.141), pracující s operačním systémem Windows 2000 a ISS 5.0, je však jediným serverem, na kterém se zmíněná chyba vyskytla – ostatní servery byly nastaveny správně a žádné nebezpečí na nich tedy nehrozilo. Správně bylo na tomto serveru nastaveno také kupříkladu ASP. Odpovídající nastavení podobných služeb by ale mělo náležet pro zkušeného správce systému mezi záležitosti rutinního charakteru.

Že každý uživatel serveru mohl měnit a číst údaje ostatních uživatelů – a stačily k tomu pouze základní znalosti PHP či stáhnutí vhodných skriptů – názorně demostruje kupříkladu následující obrázek:

Díky této skutečnosti byl vlastně neomezený přístup k datům uživatelů a nebyl problém zjistit také hesla pro přístup do nejrůznějších redakčních systémů či databázových systémů pro správu internetových stránek – nalezení přístupových hesel bylo pouze otázkou času, který se případný zájemce rozhodl pátrání věnovat. Namátkou se tak podařilo získat hesla kupříkladu k správě následujících serverů (hesla samozřejmě neuvádíme a neuvádíme ani přesnou adresu administračních systémů):

To však nebylo zdaleka vše, protože kromě změn na webových stránkách bylo možné také číst soukromou korespondeci oněch 1.100 uživatelů!

O tom, že podobné pochybení je skutečně více než jen hrubou chybou ze strany poskytovatele služby, nemůže být pochyb a je třeba do jisté míry dát za pravdu některým názorům, jež negativně hodnotily kvalitu služeb společnosti Pes. Nejde však pouze o Psa – pokud by se tento či podobný problém vyskytl na jakékoli freewebové službě, neušel by po zásluze tvrdé kritice. Pokud se však chyba objeví u jedné z největších placených hostingových služeb, lze to považovat za alarmující.

S podobnými problémy se lze často setkat na serverech, kde jsou skriptovací jazyky provozovány jaksi mimochodem, ale skutečnost, že se chyba vyskytla v souvislosti se službou poskytováním webhostingu se živící, pouze dokládá přísloví o mistru tesařovi, který se někdy utne.

Tento článek byl v předstihu zaslán provozovateli služby Pes, aby se k jeho obsahu vyjádřil a především opravil uvedené chyby tak, aby nemohlo dojít k poškození uživatelů služby. Reakci provozovatele přikládáme:

Uváděná chyba se skutečně stala. Byla to záležitost několika hodin a byla již odstaněna. Vznikla při zavádění nového on-line systému u domén, webů a e-mailů. Po krátkou dobu byla nedopatřením pro jiné uživatele v rámci serveru přístupná některá data části klientů na uvedeném stroji. Omlouváme se.

Vše jsme napravili a tak není důvod k obavám ze strany našich zákazníků. K žádné ztrátě dat ani k jejich poškození nedošlo.

K minulým reakcím na článek týkající se DNS nemáme zájem se vyjadřovat. Je zbytečné dohadovat se o nesmyslech a lžích s lidmi, kteří se rozhodli záměrně a sprostě poškodit naše jméno.

Předpokládáme, že reakce na tento poněkud neaktuální článek budou stejně bouřlivé. Vzhledem k okolnostem tohoto případu, kdy se server Lupa.cz snaží přinést za každou cenu senzaci, se předem distancujeme od jakýchkoliv reakcí na případné urážky. O „objektivitě“ přístupu redaktorů serveru Lupa.cz svědčí mimo jiné i ta skutečnost, že nám nebyla zveřejněna naše tisková zpráva, která popisovala naši nově rozšířenou nabídku služeb a namísto toho nám byl poslán mail s nabídkou na reklamu za několik desítek tisíc korun.

Josef Grill, jednatel společnosti Pes

Stanovisko redakce: Stanovisko pana Josefa Grilla publikujeme (jak je ostatně naší zásadou) v nezkrácené a neupravené podobě. Na vysvětlenou dodáváme, že společnosti Pes byla skutečně nabídnuta možnost komerční prezentace na serveru Lupa – stejně a za stejných podmínek, jako je pravidelně nabízena desítkám společností, které mají co do činění s Internetem – nicméně tak bylo učiněno 3. ledna tohoto roku, tedy nikoli ve spojitosti s jakýmikoli na Lupě publikovanými články o této společnosti, jak by se snad čtenář mohl mylně ze stanoviska pana Grilla domnívat.

Mirek Zeman, editor serveru Lupa