Hlavní navigace

Programování z hotového: pozor na podvody

 Autor: 29
Lukáš Tomek 5. 10. 2010

Chcete-li dnes něco naprogramovat v PHP, často nemusíte začínat od nuly. Kromě nejrůznějších frameworků a pracovních prostředí se dají najít i slušné CMS systémy, polotovary e-shopů nebo skripty vykonávající nejrůznější činnosti. Výsledkem může být úspora času – nebo noční můra.

Když se člověku nechce psát, tak místo toho začne „lepit“ z hotových kódů… a výsledek mnohdy nebývá špatný (zvláště při kvalitní dokumentaci a silné komunitě – viz. např. Wordpress). Pokud ale nebudete opatrní, může se snadno stát, že místo abyste si ušetřili práci, připraví vám lepení horké chvilky. Následující příběh se skutečně odehrál a jste-li kromě jiného i milovníky detektivek, jistě ho oceníte.

Všechno začalo požadavkem na sestavení webové aplikace, která by z části obsahovala jakýsi miniredakční systém a z části galerii obrázků. Programátor-poloamatér, který se do projektu pustil, zajásal. Všelijakých „wallpaper scriptů“ a „redakčních systémů“ se přece válí na Internetu spousta! Nažhavil tedy Google a jal se pořádně propátrávat virtuální, altruistický anglosaský svět. Stáhl pár skriptů, prohlédl si nějaké ty screenshoty a protože nebyl zas tak úplně dnešní, porovnával také podporu a uživatelské komunity.

Nakonec si vybral parádní kousek. Skript uměl obrázky hromadně nahrávat, obsahoval požadované miniCMS, měl propracované vyhledávání obsahu, bylo lze na něj „přilepit“ nějaké to „theme“ a vůbec, vypadal zrovna tak, jak by si programátor představoval. Nejvíc ohromující byla podpora. Není to to, co vás také vždycky překvapí u v podstatě kvalitního produktu, který někdo dává zdarma? Kouzlo open-source světa, kde se status quo měří podle příspěvku komunitě – anebo reálná štědrost občanů západních zemí, kterou u nás neznáme (to se týká oněch všudypřítomných tlačítek „Donate“)… Ať tak nebo tak, když někdo nabízí zdarma, ber. Instalace byla jednoduchá, stačilo vytvořit databázi, nainstalovat hotovou aplikaci na server a s klientem dotvořit grafiku, překlady a pár drobností. Práce se podařila, byla zaplacena a zdárně odškrtnuta ze seznamu úkolů.

Skript zmizel, autor taky

Po asi půl roce se klient ozval, že by byla na aplikaci potřeba nějaká drobná úprava. Protože náš programátor chtěl nejprve prohledat fórum komunity, vydal se na stránku, ze které skript stáhl. Červená barva přes celou obrazovku ho ovšem nepotěšila. „Nahlášená útočná stránka,“ prohlásil Firefox. Po chvíli bylo jasné, že zmizel tvůrce skriptu, po komunitě se slehla zem a hledáním na Googlu se dokonce ukázalo, že neexistuje žádný zdroj (ani alternativní), odkud by bylo možné původní aplikaci stáhnout. Přezdívka autora free skriptu se na Internetu nedala nikde jinde najít. Jméno nebylo známo. Takové věci se ovšem stávají: student vysoké školy si jako koníček naprogramuje skript, který poskytne zdarma ostatním. Práci dostatečně nezálohuje, jeho stránky napadnou hackeři a celý projekt se položí.

Tak například: legendární je dnes mrtvý projekt Home of the Underdogs, který provozovala (možná existující) Thajka Sarinee Achavanuntakul. Jeho součástí byla sbírka abandonwaru, jaká dodnes nemá obdoby. Veškeré domény projektu nakonec obsadili kybersquatteři a Sarinee zmizela ze světa – na celém Internetu o ní od té doby nikdo neslyšel. Dnes existuje několik následnických projektů, které se snaží původní HOTU vzkřísit, jeden s původní grafikou je zde.

Náš programátor měl naštěstí zálohy, byl to ale zvědavý člověk. A tak se pustil do pátrání. Nejdřív se podíval na hlášku o nebezpečnosti stránky, kterou generuje Google. Tam narazil na řadu jiných webů, které měly být infikovány podobným způsobem (jednalo se o klasiku typu unesená fóra roboty, malware, atd.). Když několik těchto webů prošel, všiml si rychle dvou věcí. Na některých nebyl vůbec žádný obsah, na některých byl použit stejný PHP skript a obsah byl evidentně prořídlý. Hypotéza zněla: většina webů nebo možná všechny osazené zkoumaným skriptem byly hacknuty a napadeny malwarem. Že by něco nebylo v pořádku?

Nakonec se našla i fotka

Další pátrání pokračovalo v projektu Codeigniter, což je framework, ve kterém byl skript napsán. Ve fóru se nakonec podařilo objevit zmínku o skriptu a informace o autorovi příspěvku včetně jeho další přezdívky. Díky tomu Google a Whois prozradily e-mail podezřelého autora skriptu (na který neodpovídá), jeho stránku (tou dobou prázdnou) a několik dalších drobností, které ho mohly identifikovat – pokud Whois nelhal, jeho bydliště bylo někde v Rumunsku.

Díky svému úsilí se zvědavý „detektiv“ dostal i k několika příspěvkům v různých fórech. Dotazy se týkaly využívání proxy serverů. A stížnosti na jiných fórech poskytly jasnou stopu: stránka, kterou podezřelý zřejmě provozoval, poskytovala za úplatek seznamy proxy serverů nebo rovnou obstarávala spojení. „Žalující“ tvrdili, že se jedná o nabídku free proxy serverů za peníze. Poslední zmínka v souvislosti se jménem (z Whois) se podařila objevit na stránkách univerzity a na LinkedIn – dotyčný Rumun pracuje v IT, má na LinkedIn dokonce fotografii a u velké mezinárodní firmy pracuje jako specialista na bezpečnost. Takže, co myslíte, jak to asi celé bylo?

Takhle to asi bylo

Byl jednou jeden rumunský student vysoké školy. Byl to nadšenec, programátor, poloviční génius, geek a plnoprávný člen první internetové generace. Dokonce získal za své znalosti cenu v rámci jisté studentské soutěže.

Na Internetu ovšem není romantiky bez průniků do zabezpečených systémů a lámání softwarových ochran (vzpomeňte na senzační Fravia's web, který přímo dýchal hutnou atmosférou – ve své době šlo o povinnou četbu). Když se do toho tenhle studentík pustil, komunita ho vtáhla a on pochopil, že než dělat o prázdninách třeba ve skladu, dají se peníze vydělat i jinak. A vymyslel plán.

Naprogramoval senzační PHP skript, ve své době špičku a umístil ho na stránky, které vytvořil. Povědomí o skriptu se šířilo – díky kvalitnímu provedení – rychle. Poměr kvality a (nulové) ceny byl skvělý. V patičkách vytvořených webů byl odkaz na stránku se skriptem a ta v SERPU Googlu stoupala utěšeně nahoru. Víc a víc lidí si stahovalo skript a studentík vysedával do noci u počítače a poskytoval zdarma podporu. Když bylo stažení několik tisíc, spustil jeden kód, o kterém nikdo do té chvíle nevěděl. Onen skript měl totiž šikovně schovaný backdoor.

WT100

V té chvíli byly napadeny všechny weby, které skript používaly. Ze začátku nebylo nic poznat, weby jen šířily malware na desktopy. Časem byly všechny stránky nějakým způsobem zablokovány a pokud jejich majitel neudělal nic, byly ovládnuty ještě dodatečným útokem. Všechny napadené stroje se staly součástí botnetu, který student vyprojektoval. Poskytovaly připojení přes proxy servery a studentík je přes svůj další web prodával zájemcům za dolary (tomu se říká „ruská škola“). No a když skončil studia, tak si se svými zkušenostmi snadno našel místo jako specialista na bezpečnost v mezinárodní IT firmě.

Možná vás napadly dvě otázky. Tak za prvé, jak to, že stránka našeho milého programátora nebyla napadena? Snad to bylo tím, že byl Čech. A když už byl Čech, tak rozkódoval patičku a vyhodil z ní ten protivný odkaz na stránku se skriptem a s ní i nějaký otravný „zbytečný kód“ o kterém nebylo zřejmé, na první pohled co dělá. A za druhé, možná byste chtěli vědět, co na to pan programátor, když mu tohle všechno došlo. Inu, hledá ten backdoor. A jestli ještě žije, tak ho možná hledá dodnes…

Anketa

Kontrolujete, nebo necháváte kontrolovat, jestli v kódu vašich stránek nejsou podezřelé, přebytečné úseky?

Našli jste v článku chybu?
Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Dostal malý pivovar ze Slovenska do Tesca

Dostal malý pivovar ze Slovenska do Tesca

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: RRTV: licence pro Šlágr TV

RRTV: licence pro Šlágr TV

DigiZone.cz: UPC má v nabídce Discovery v HD

UPC má v nabídce Discovery v HD

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Vitalia.cz: Inspekce našla nelegální sklad v SAPĚ. Zase

Inspekce našla nelegální sklad v SAPĚ. Zase

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Pure má tři nové přijímače DAB

Pure má tři nové přijímače DAB