Sněmovna mlží. Porno je prý od hackerů

Nedokáže-li si státní správa zajistit funkční a správně fungující webové stránky, je něco špatně. A jak se lidé ptají, je čas se zajímat se o to, jestli může někdo takový řídit a zajistit funkčnost něčeho podstatně složitějšího, tedy státu.

Řekněte, až tam bude Klasnová“ (anonymní komentátor v diskuzích), „Kolega JUDr. Benda buší do bezvládného počítače a křičí, že chce svá data zpět. Na otázku jaká data, se tváří tajemně “ (@schwrzebergk) či „Kauza  nás všechny vyděsila. Nejvíce biskupa Malého, jehož sbírka lechtivých filipínských filmů údajně patří k největším v Evropě.“ (@kardinalvlk). Takové jsou reakce na objev porno videa, porno fotografií, warezu, hudby, filmů a řady dalších nepatřičných věcích kdesi v útrobách www.psp.cz. Ale také třeba, „Když nejsou schopni nechat vytvořit funkční web, tak nemůžou být schopni stavět dálnice, starat se o rozpočet, řídit stát.

Máloco národ tak pobavilo jako včerejší objev toho, že neznámý administrátor ponechal přístup k souborům a složkám na webovém serveru www.psp.cz aktivní pro kohokoliv. Pak už stačilo jenom procházet strukturu adresářů a hledat zajímavé věci. Poslanecké sněmovně trvalo zhruba hodinu, než tomu zamezila – včera někdy po poledni se začaly konečně objevovat „403 – Forbidden“. Enormní zájem o www.psp.cz ale také znamenal závratnou míru „503 – Service Unavailable“, tedy panické reakce serveru na zátěž, kterou není schopen zvládnout.

„d2945b6191|admin|01.01.2002||Ad­min|Administrátor||1|11111111|pi­larp@senat.cz||||||3||L“  – i takové informace bylo možné najít mezi volně dostupnými soubory.

Lupa.cz je velmi líto, že nemůže zdokumentovat fotografie a filmy, které si neznámý člověk nechal uložené na www.psp.cz (a které buď on sám, nebo někdo jiný, absurdně amatérským přístupem nechal volně dostupné z Internetu). Pokud bychom uvedli příklady, Lupa.cz by okamžitě byla zlikvidována z indexu Google i dalších vyhledávačů. Obrázky s přirozením a dalšími orgány prostě lépe nedokumentovat. Co ale všechno nabízel www.psp.cz pro zájemce?

PSP.CZ a Terry Pratchet v DVDrip podobě

PSP.CZ a Terry Pratchett v DVDrip podobě (torrent)

V diskuzích na Internetu došlo i na hledání aktérů z některých fotografií s poměrně zajímavým závěrem, tedy že „nešlo o pornofotky z privátní dovolené, ale služební snímky z pracovní cesty.“. Dokonce se podařilo dohledat možné aktéry na Facebooku. Jejich jména je možné najít v přehledu zaměstnanců. A co navíc, i na Facebooku mají uvedenou Poslaneckou sněmovnu jako zaměstnavatele. 

Celé to v diskuzích během chvíle vypadalo jako hon na čarodějnice, do které občas zasáhl někdo, komu se zveřejňování jmen (vcelku stačilo aby bylo vhodné příjmení) vadilo, ale jinak se pokračovalo v záplavě spekulací. Utnutí zásahů do soukromí lidí (kteří vůbec nemuseli mít s kauzou nic společného) na Lupa.cz samozřejmě vyvolalo vlnu útoků a prohlášení o „cenzuře“. Celé téhle zvláštní epizodě bude ještě věnován samostatný text.

K čemu na PSP.cz došlo?

Někdo, pravděpodobně správce systému, si na počítač sloužící jako webový server (nebo na disky k němu připojené) nahrál vlastní obsah. Velmi osobní obsah. Obsah, který rozhodně na podobném zařízení nemá co dělat.

Někdo, pravděpodobně opět správce systému, zapomněl nastavit omezení přístup do těchto složek, které navíc byly součástí struktur složek, ke kterým byl přístup přes webový server. A protože nebylo nastaveno omezení ani nedošlo k zákazu procházení složek, bylo možné se volně procházet po obsahu webového serveru.

Amatérské, hloupé a nebezpečné. Není ani zcela jasné, co všechno vlastně bylo na server uloženo a přístupné – mimo jiné tam byly i zdrojové kódy k portálu, včetně informací ze SQL serveru. A pokud už existuje někdo, kdo se chová takto amatérsky, lze očekávat řadu dalších opomenutí. Stačí se ostatně podívat i na fakt, že řešení trpí zcela typickými problémy s neošetřenými vstupními parametry (spolehlivě generuji chyby SQL).  Historicky informace o bezpečnostních problémech a nedostatcích sahají roky zpět (viz například Poslanecká sněmovna / psp.cz na Soom.cz).

Je vhodné upozornit, že mezi novým webem (oficielně spuštěným na začátku června) a těmito problémy není zjevná souvislost. /auar/ složky z webu jsou spolehlivě uloženy i v indexech Google. Což mimo jiné znamená, že vše bylo přístupné déle (nejde tedy o nějakou momentální chybu). A také to znamená, že se k tomu „nějak“ musel Google dostat.

Správci nakonec zakročili, ale ne příliš úspěšně. Jak si jinak vysvětlit například http://www.psp.cz/cgi-bin/win/katalog/_db.bak/ a tam dostupné jakési zálohy databází? Zákrok samozřejmě spočíval v tom, že zrušil možnost volného přístupu do složek i procházení složek (takže vrací 403).

Co na to říká Poslanecká sněmovna? Svádí to na hackery zvenčí

Tiskové oddělení Poslanecké sněmovny jsem požádal e-mailem o vyjádření v podobě následujících čtyř otázek. Odpověď nebyla poskytnuta.

  • jak je možné, že k něčemu takovému došlo?
  • už se ví, kdo si tyto soubory nechal na psp.cz odložené?

  • jak možné, že psp.cz neprošlo bezpečnostním auditem, který by něco takového velmi rychle odhalil?

  • zodpovídá za tuto událost přímo někdo, kdo je zaměstnancem psp.cz, nebo jde o vnější dodavatele?

iDnes.cz byli mírně úspěšnější, takže citují Romana Žambocha, mluvčího Sněmovny:

Pokud se nějakým hackerským způsobem podařilo někomu něco podobného z venku na internet umístit, mohla být chyba v zabezpečení webu. Poslanecká sněmovna není jediná instituce v ČR nebo na světě, kterou něco podobného postihlo,“ stojí v oficiální zprávě."

Zde je vhodné dodat, že se skutečně totožná bezpečnostní opomenutí stávají velmi často, ale nic to nemění na závažnosti. A  na případné právní zodpovědnosti – přítomnost pornografie, ale hlavně přítomnost hudby, filmů a software je problematická. A objevuje se tu i druhá možná varianta, tedy že by snad někdo soubory na PSP.CZ umístil zvenčí – tedy útok nějakého „hackera“. Byť je to nejméně logické, je to cesta jak se může Sněmovna z celého problému elegantně dostat – začít tvrdit, že šlo o útok zvenčí, útočníka se nepodařilo vypátrat…

 Roman Žamboch ostatně i pro Novinky.cz uvedl prakticky totéž: „Rozhodně musíme popřít informaci, že by internetové stránky Poslanecké sněmovny obsahovaly pornografii, to v žádném případě. Pokud se nějakým hackerským způsobem podařilo někomu něco podobného zvenku na internet umístit, mohla být chyba v zabezpečení webu.

EBF16

Takže je asi jasné, jakou komunikační strategii Sněmovna nakonec zvolila. Nejasné zůstává jenom to, proč by „hackeři“ na web PSP.CZ umisťovali informace, které jasně s PSP.CZ souvisí. Tedy od záznamů o účtech uživatelů až po kódy informačního systému. 

DODATEK 20. 6. 2012 07:45 PSP.CZ „dočasně“ v podobě provizorní webové prezentace, také za to budou moci hackeři?

70 názorů Vstoupit do diskuse
poslední názor přidán 26. 6. 2012 7:40

Školení web copywritingu

  •  
    Jak strukturovat text na webové stránce.
  • Tajemství atraktivního a úderného titulku.
  • Optimalizace webového textu pro vyhledávače.

Detailní informace o školení psaní pro web »